En esta página, se explican parte de la información y los métodos que puedes usar para priorizar los hallazgos de Security Command Center sobre vulnerabilidades de software, parámetros de configuración incorrectos y, con el nivel empresarial, combinaciones tóxicas (vulnerabilidades, en conjunto), de modo que puedas reducir el riesgo y mejorar tu postura de seguridad en relación con tus estándares de seguridad aplicables de manera más rápida y eficiente.
El propósito de la priorización
Debido a que el tiempo es limitado y el volumen de hallazgos de vulnerabilidades de Security Command Center puede ser abrumador, en especial en organizaciones más grandes, debes identificar y responder con rapidez a las vulnerabilidades que representan el mayor riesgo para tu organización.
Debes corregir las vulnerabilidades para reducir el riesgo de un ciberataque en tu organización y mantener el cumplimiento de los estándares de seguridad aplicables.
Para reducir de manera eficaz el riesgo de un ciberataque, debes encontrar y corregir las vulnerabilidades que exponen tus recursos más, que son más explotables o que resultarían en el daño más grave si se explotaran.
Para mejorar de forma eficaz tu postura de seguridad con respecto a un estándar de seguridad en particular, debes encontrar y corregir las vulnerabilidades que infringen los controles de los estándares de seguridad que se aplican a tu organización.
En las siguientes secciones, se explica cómo puedes priorizar los hallazgos de vulnerabilidades de Security Command Center para cumplir con estos propósitos.
Prioriza los hallazgos de vulnerabilidades para reducir el riesgo
Un hallazgo es un registro de un problema de seguridad. Un hallazgo de vulnerabilidad incluye la siguiente información que puedes usar para priorizar su solución:
- Puntuación de exposición al ataque o puntuación de combinación tóxica
- Registros de CVE con evaluaciones de CVE de MandiantVersión preliminar
- Gravedad
Aunque las puntuaciones de exposición a ataques se asignan a los hallazgos de vulnerabilidades, en principio, se basan en la identificación de posibles rutas de ataque desde la Internet pública hasta tus recursos de alto valor, el valor de prioridad asignado de los recursos y la cantidad de recursos que afecta el hallazgo.
Una puntuación de combinación tóxica se aplica a los hallazgos de combinaciones tóxicas, que son una característica del nivel Enterprise de Security Command Center. Una puntuación de combinación tóxica es similar a la puntuación de exposición a ataques de otros tipos de hallazgos, pero se puede considerar que se aplica a una ruta en lugar de un hallazgo de una configuración o vulnerabilidad de software individual. Para obtener más información, consulta Puntuaciones de exposición a ataques de combinaciones tóxicas.
La información de CVE, incluidas las evaluaciones del impacto y la explotación de la CVE que proporciona Mandiant, se basa en la vulnerabilidad en sí.
De manera similar, la gravedad de los hallazgos se basa en el tipo de vulnerabilidad y Security Command Center asigna a las categorías de búsqueda. Todos los resultados de una categoría o subcategoría en particular se emiten con el mismo nivel de gravedad.
A menos que uses el nivel Enterprise de Security Command Center, los niveles de gravedad de los resultados son valores estáticos que no cambian durante la vida del hallazgo.
En el nivel Enterprise, los niveles de gravedad de los hallazgos de vulnerabilidades y parámetros de configuración representan con mayor precisión el riesgo en tiempo real de un hallazgo. Los hallazgos se emiten con el nivel de gravedad predeterminado de la categoría de hallazgos, pero pueden ser superiores o inferiores al nivel predeterminado a medida que la puntuación de exposición a ataques del resultado aumenta o disminuye mientras el hallazgo permanece activo.
Priorizar por puntuaciones de exposición a ataques
En general, prioriza la solución de los hallazgos que tienen una alta exposición a ataques o una puntuación de combinación tóxica sobre los hallazgos que tienen una puntuación más baja o ninguna.
Solo los hallazgos de vulnerabilidades que afectan a los recursos que se designan como de alto valor reciben puntuaciones. Para que las puntuaciones reflejen las prioridades de tu empresa, primero debes definir cuáles de tus recursos tienen un valor alto. Para obtener más información, consulta Valores de recursos.
En la consola de Google Cloud y en la consola de operaciones de seguridad, las puntuaciones aparecen con los resultados en varios lugares, incluidos los siguientes:
- En la página Descripción general, donde se muestran los 10 resultados con las puntuaciones más altas.
- En una columna en la página Hallazgos, en la que puedes consultar y ordenar los resultados por puntuación.
- Cuando visualizas los detalles de un hallazgo de vulnerabilidad que afecta a un recurso de alto valor.
Mira hallazgos de combinaciones tóxicas con puntuaciones máximas en la consola de operaciones de seguridad
En la consola de operaciones de seguridad, trabajas con combinaciones tóxicas, principalmente, con casos. Puedes ver los casos de los hallazgos con las puntuaciones máximas en la página Postura > Descripción general.
Consulta los resultados con puntuaciones máximas en la consola de Google Cloud
En la consola de Google Cloud, puedes ver los 10 hallazgos de vulnerabilidades que tienen las puntuaciones más altas de exposición a ataques mediante estos pasos:
Ve a la página Descripción general en la consola de Google Cloud:
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que necesitas priorizar las vulnerabilidades:
En la sección Principales hallazgos de vulnerabilidades, revisa los 10 hallazgos.
Haz clic en una puntuación de la columna Puntuación de exposición a ataques para abrir la página de detalles de la ruta de ataque del hallazgo.
Haz clic en el nombre de un resultado para abrir el panel de detalles en la página Hallazgos.
Para obtener más información, consulta Puntuaciones de exposición a ataques y rutas de ataque.
Priorizar por la explotación y el impacto de la CVE
En general, prioriza la corrección de los hallazgos que tienen una evaluación de CVE de alta capacidad de explotación y alto impacto sobre los hallazgos con una evaluación de CVE de baja explotación y bajo impacto.
En la página Descripción general, en la sección Principales hallazgos de CVE, un gráfico o mapa de calor, se agrupan los hallazgos de vulnerabilidades en bloques según las evaluaciones de impacto y explotación que proporciona Mandiant.
Cuando consultes los detalles de ciertos hallazgos de vulnerabilidades en la consola, podrás encontrar la información de CVE en la sección Vulnerabilidad en la pestaña Resumen. Además del impacto y la posibilidad de explotación, la sección Vulnerabilidad incluye la puntuación de CVSS, vínculos de referencias y otra información sobre la definición de vulnerabilidad de CVE.
Para identificar rápidamente los resultados que tienen el mayor impacto y exploitabilidad, sigue estos pasos:
Ve a la página Descripción general en la consola de Google Cloud:
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que necesitas priorizar las vulnerabilidades:
En la sección Principales hallazgos de CVE de la página Descripción general, haz clic en el bloque con un número distinto de cero que tenga el impacto y la capacidad de explotación más altos. Se abre la página Hallazgos de CVE para mostrar una lista de los IDs de CVE que tienen el mismo impacto y la misma capacidad de explotación.
En la sección Hallazgos por ID de CVE, haz clic en un ID de CVE. Se abrirá la página Hallazgos para mostrar la lista de hallazgos que comparten ese ID de CVE.
En la página Hallazgos, haz clic en el nombre de un hallazgo para ver los detalles del hallazgo y los pasos de solución recomendados.
Priorizar por gravedad
En general, prioriza un hallazgo de vulnerabilidad con una gravedad CRITICAL sobre un hallazgo de vulnerabilidad con una gravedad HIGH, prioriza la gravedad HIGH sobre una gravedad MEDIUM, etcétera.
Tal vez la forma más fácil de identificar las vulnerabilidades de mayor gravedad es usar filtros rápidos en la página Hallazgos en la consola de Google Cloud.
Para ver los resultados de la gravedad más alta, sigue estos pasos:
Ve a la página Hallazgos en la consola de Google Cloud:
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que necesitas priorizar las vulnerabilidades:
En el panel Filtros rápidos de la página Hallazgos, selecciona las siguientes propiedades:
- En Clase de hallazgo, selecciona Vulnerabilidad.
- En Gravedad, selecciona Crítica, Alta o ambas.
El panel Resultados de la búsqueda se actualiza para mostrar solo los resultados que tienen la gravedad especificada.
También puedes ver la gravedad de los hallazgos de vulnerabilidades en la página Descripción general de la sección Hallazgos de vulnerabilidades activos.
Prioriza los hallazgos de vulnerabilidades para mejorar el cumplimiento
Cuando priorizas los hallazgos de vulnerabilidades para el cumplimiento, tu preocupación principal son los hallazgos que infringen los controles del estándar de cumplimiento aplicable.
Puedes ver los resultados que infringen los controles de una comparativa en particular si sigues estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud:
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que necesitas priorizar las vulnerabilidades:
Junto al nombre del estándar de seguridad que debes cumplir, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
Si no se muestra el estándar de seguridad que necesitas, especifícalo en el campo Estándar de cumplimiento de la página Detalle de cumplimiento.
Ordena las reglas enumeradas por Hallazgos haciendo clic en el encabezado de la columna.
Si deseas ver cualquier regla que muestre uno o más resultados, haz clic en el nombre de la regla en la columna Reglas. Se abre la página Hallazgos para mostrar los resultados de esa regla.
Corrige los hallazgos hasta que no queden resultados. Después del siguiente análisis, si no se encuentran nuevas vulnerabilidades para la regla, el porcentaje de controles aprobados aumenta.