Nesta página, explicamos algumas das informações e métodos que podem ser usados para priorizar as descobertas de vulnerabilidades de software, configurações incorretas e, com o nível Enterprise, combinações tóxicas (vulnerabilidades, coletivamente), para que você possa reduzir o risco e melhorar sua postura de segurança em relação aos padrões aplicáveis com mais rapidez e eficiência.
O objetivo da priorização
Como seu tempo é limitado e o volume de descobertas de vulnerabilidades do Security Command Center pode ser complicado, especialmente em organizações maiores, você precisa identificar e responder rapidamente às vulnerabilidades que representam o maior risco para sua organização.
Você precisa corrigir vulnerabilidades para reduzir o risco de um ataque cibernético na sua organização e manter a conformidade dela com os padrões de segurança aplicáveis.
Para reduzir efetivamente o risco de um ataque cibernético, você precisa encontrar e corrigir as vulnerabilidades que mais expõem seus recursos, que são mais exploráveis ou que resultariam em danos mais graves se fossem exploradas.
Para melhorar efetivamente sua postura de segurança em relação a um padrão de segurança específico, é preciso encontrar e corrigir as vulnerabilidades que violam os controles dos padrões de segurança que se aplicam à organização.
As seções a seguir explicam como priorizar as descobertas de vulnerabilidade do Security Command Center para atender a essas finalidades.
Priorizar descobertas de vulnerabilidade para reduzir riscos
Uma descoberta é um registro de um problema de segurança. Uma descoberta de vulnerabilidade inclui as seguintes informações que podem ser usadas para priorizar a correção da vulnerabilidade:
- Pontuação de exposição a ataques ou combinação de elementos tóxicos
- Registros de CVE com avaliações de CVE da MandiantPreview
- Gravidade
As pontuações de exposição a ataques são atribuídas às descobertas de vulnerabilidade, mas são baseadas principalmente na identificação de possíveis caminhos de ataque da Internet pública para os recursos de alto valor, no valor de prioridade atribuído dos recursos e em quantos recursos a descoberta afeta.
Uma pontuação de combinação tóxica se aplica a descobertas de combinações tóxicas, que são um recurso do nível Enterprise do Security Command Center. Uma pontuação de combinação tóxica é semelhante à pontuação de exposição a ataques em outros tipos de descobertas, mas pode ser considerada como uma aplicação a um caminho, em vez de uma descoberta de uma vulnerabilidade ou configuração de software individual. Para mais informações, consulte Pontuações de exposição a ataques de combinação tóxica.
As informações da CVE, incluindo as avaliações de exploração e impacto da CVE fornecidas pela Mandiant, são baseadas na própria vulnerabilidade.
Da mesma forma, as gravidades de descoberta são baseadas no tipo de vulnerabilidade e são atribuídas às categorias de descoberta pelo Security Command Center. Todas as descobertas em uma categoria ou subcategoria específica são emitidas com o mesmo nível de gravidade.
A menos que você esteja usando o nível Enterprise do Security Command Center, os níveis de gravidade de descoberta são valores estáticos que não mudam ao longo da vida útil da descoberta.
Com o nível Enterprise, os níveis de gravidade das descobertas de vulnerabilidade e configuração representam com mais precisão o risco em tempo real de uma descoberta. As descobertas são emitidas com o nível de gravidade padrão da categoria de descoberta, mas podem ficar acima ou abaixo desse nível conforme a pontuação de exposição a ataques aumenta ou diminui enquanto a descoberta permanece ativa.
Priorizar pontuações de exposição a ataques
Geralmente, priorize a correção de descobertas que têm uma alta pontuação de exposição a ataques ou combinação tóxica em vez de descobertas que tenham uma pontuação menor ou nenhuma pontuação.
Somente as descobertas de vulnerabilidade que afetam recursos designados como alto valor recebem pontuações. Para que as pontuações reflitam suas prioridades de negócios, é preciso primeiro definir quais recursos são de alto valor. Para mais informações, consulte Valores de recurso.
No console do Google Cloud e no console de operações de segurança, as pontuações aparecem com as descobertas em vários lugares, incluindo:
- Na página Visão geral, em que são exibidas as 10 descobertas com as pontuações mais altas,
- em uma coluna na página Descobertas, em que é possível consultar e classificar as descobertas por pontuação.
- ao visualizar os detalhes de uma descoberta de vulnerabilidade que afeta um recurso de alto valor.
Confira as descobertas de combinação tóxica com as maiores pontuações no console de Operações de Segurança
No console de Operações de Segurança, você trabalha com combinação tóxica principalmente por casos. É possível visualizar os casos das descobertas com as melhores pontuações na página Postura > Visão geral.
Confira as descobertas com as maiores pontuações no console do Google Cloud
No console do Google Cloud, siga estas etapas para ver as 10 descobertas de vulnerabilidade com as maiores pontuações de exposição a ataques:
Acesse a página Visão geral no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização em que você precisa priorizar as vulnerabilidades:
Na seção Principais descobertas de vulnerabilidade, analise as 10 descobertas.
Clique em uma pontuação na coluna Pontuação de exposição a ataques para abrir a página de detalhes do caminho de ataque da descoberta.
Clique no nome de uma descoberta para abrir o painel de detalhes na página Descobertas.
Para mais informações, consulte Pontuações de exposição a ataques e caminhos de ataque.
Priorize por capacidade de exploração e impacto da CVE
Geralmente, priorize a correção de descobertas que têm uma avaliação de CVE de alta capacidade de exploração e alto impacto em relação às descobertas com uma avaliação de CVE de baixa capacidade de exploração e baixo impacto.
Na página Visão geral, na seção Principais descobertas de CVE, um gráfico ou mapa de calor agrupa as descobertas de vulnerabilidade em blocos pelas avaliações de exploração e impacto fornecidas pela Mandiant.
Ao visualizar os detalhes de determinadas descobertas de vulnerabilidade no console, você encontra as informações sobre CVE na seção Vulnerabilidade da guia Resumo. Além do impacto e da exploração, a seção Vulnerabilidade inclui a pontuação do CVSS, links de referência e outras informações sobre a definição de vulnerabilidade do CVE.
Para identificar rapidamente as descobertas de maior impacto e capacidade de exploração, siga estas etapas:
Acesse a página Visão geral no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização em que você precisa priorizar as vulnerabilidades:
Na seção Principais descobertas de CVE da página Visão geral, clique no bloco com um número diferente de zero que tenha a maior capacidade de exploração e impacto. A página Descobertas por CVE é aberta para mostrar uma lista de IDs da CVE com o mesmo impacto e capacidade de exploração.
Na seção Descobertas por ID da CVE, clique em um ID da CVE. A página Descobertas é aberta para exibir a lista de descobertas que compartilham esse ID da CVE.
Na página Descobertas, clique no nome de uma descoberta para ver os detalhes da descoberta e das etapas de correção recomendadas.
Priorizar por gravidade
Geralmente, priorize uma descoberta de vulnerabilidade com gravidade CRITICAL em vez de uma com gravidade HIGH, priorize HIGH em vez de MEDIUM e assim por diante.
Talvez a maneira mais fácil de identificar as vulnerabilidades de maior gravidade seja usando Filtros rápidos na página Descobertas no Console do Google Cloud.
Para visualizar as descobertas de maior gravidade, siga estas etapas:
Acesse a página Descobertas no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização em que você precisa priorizar as vulnerabilidades:
No painel Filtros rápidos da página Descobertas, selecione as seguintes propriedades:
- Em Classe de descoberta, selecione Vulnerabilidade.
- Em Gravidade, selecione Crítico, Alta ou essas duas opções.
O painel Resultados da consulta de descobertas é atualizado para mostrar apenas as descobertas com a gravidade especificada.
Você também pode conferir as gravidades de descoberta de vulnerabilidades na página Visão geral da seção Descobertas de vulnerabilidades ativas.
Priorizar as descobertas de vulnerabilidade para melhorar o compliance
Ao priorizar as descobertas de vulnerabilidade para conformidade, sua principal preocupação são as descobertas que violam os controles do padrão de conformidade aplicável.
Confira as descobertas que violam os controles de uma comparação específica seguindo estas etapas:
Acesse a página Compliance no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização em que você precisa priorizar as vulnerabilidades:
Ao lado do nome do padrão de segurança que você precisa cumprir, clique em Ver detalhes. A página Detalhes de compliance é aberta.
Se o padrão de segurança necessário não for exibido, especifique-o no campo Padrão de conformidade da página Detalhes de conformidade.
Classifique as regras listadas por Descobertas, clicando no título da coluna.
Para qualquer regra que mostre uma ou mais descobertas, clique no nome da regra na coluna Regras. A página Descobertas é aberta para exibir as descobertas dessa regra.
Corrigir as descobertas até que não haja mais descobertas. Após a verificação seguinte, se nenhuma nova vulnerabilidade for encontrada para a regra, a porcentagem de controles aprovados aumentará.