Halaman ini menjelaskan properti severity dari temuan Security Command Center dan kemungkinan nilainya.
Properti severity memberikan indikator umum tentang
pentingnya memperbaiki temuan kategori temuan tertentu
atau, dalam beberapa kasus, subkategori.
Umumnya, Anda harus memperbaiki temuan tingkat keparahan HIGH sebelum temuan tingkat keparahan LOW, tetapi bergantung pada resource yang terpengaruh atau pertimbangan
lainnya, ada kemungkinan bahwa memulihkan temuan tingkat keparahan LOW tertentu
mungkin lebih penting daripada temuan tingkat keparahan HIGH.
Tingkat keparahan dibandingkan dengan skor paparan serangan
Anda dapat menggunakan penemuan tingkat keparahan dan menemukan skor eksposur serangan untuk memprioritaskan perbaikan temuan, tetapi penting untuk memahami perbedaan di antara keduanya.
Tingkat keparahan adalah indikator umum yang telah ditentukan berdasarkan kategori temuan. Tingkat keparahan default yang sama ditetapkan untuk semua temuan dalam kategori atau subkategori tertentu.
Skor eksposur serangan adalah indikator dinamis yang dihitung untuk temuan setelah temuan dikeluarkan. Skor ini dikhususkan untuk instance temuan dan didasarkan pada sejumlah faktor, termasuk instance resource yang terpengaruh oleh temuan tersebut dan kesulitan yang akan dihadapi penyerang saat melintasi jalur dari titik akses potensial ke resource bernilai tinggi yang terpengaruh.
Semua temuan dapat memiliki tingkat keparahan. Hanya temuan kerentanan dan kesalahan konfigurasi yang didukung oleh simulasi jalur serangan yang dapat memiliki skor eksposur serangan.
Saat memprioritaskan temuan kerentanan dan kesalahan konfigurasi, buat prioritas berdasarkan skor eksposur serangan sebelum memprioritaskan berdasarkan tingkat keparahan.
Klasifikasi tingkat keparahan
Security Command Center menggunakan klasifikasi tingkat keparahan berikut, yang ditampilkan di kolom Keparahan saat temuan ditampilkan di Konsol Google Cloud:
CriticalHighMediumLowUnspecified
Tingkat keseriusan Critical
Kerentanan kritis mudah ditemukan dan dapat dieksploitasi sehingga mengakibatkan kemampuan langsung untuk mengeksekusi kode arbitrer, mengambil data secara tidak sah, dan mendapatkan akses serta hak istimewa tambahan dalam resource dan alur kerja cloud. Contohnya mencakup data pengguna yang dapat diakses secara publik dan akses SSH publik dengan sandi yang lemah atau tanpa sandi.
Ancaman kritis dapat mengakses, memodifikasi, atau menghapus data, atau mengeksekusi kode tidak sah dalam resource yang sudah ada.
Temuan class SCC error yang penting berarti salah satu dari
hal berikut:
- Error konfigurasi mencegah Security Command Center menghasilkan temuan baru dengan tingkat keparahan apa pun.
- Error konfigurasi mencegah Anda melihat semua temuan layanan.
- Kesalahan konfigurasi mencegah simulasi jalur serangan menghasilkan skor eksposur serangan dan jalur serangan.
Tingkat keseriusan High
Kerentanan berisiko tinggi mudah ditemukan dan dapat dieksploitasi dengan kerentanan lainnya guna mendapatkan akses langsung untuk mengeksekusi kode arbitrer atau memindahkan data secara tidak sah, serta mendapatkan akses dan hak istimewa tambahan ke resource dan workload. Misalnya, database yang memiliki sandi lemah atau tidak memiliki sandi dan hanya dapat diakses secara internal dapat disusupi oleh pelaku yang memiliki akses ke jaringan internal.
Ancaman berisiko tinggi dapat membuat resource komputasi di lingkungan, tetapi tidak dapat mengakses data atau mengeksekusi kode dalam resource yang sudah ada.
Temuan class SCC error berisiko tinggi menunjukkan bahwa error
konfigurasi menyebabkan salah satu masalah berikut:
- Anda tidak dapat melihat atau mengekspor beberapa temuan layanan.
- Untuk simulasi jalur serangan, skor eksposur serangan dan jalur serangan mungkin tidak lengkap atau tidak akurat.
Tingkat keseriusan Medium
Kerentanan berisiko sedang dapat memungkinkan aktor mendapatkan akses ke resource atau hak istimewa yang pada akhirnya dapat memperoleh akses dan kemampuan untuk memindahkan data secara tidak sah atau mengeksekusi kode arbitrer. Misalnya, jika akun layanan memiliki akses yang tidak diperlukan ke project dan aktor mendapatkan akses ke akun layanan, aktor tersebut dapat menggunakan akun layanan tersebut untuk memanipulasi project.
Ancaman berisiko sedang dapat menyebabkan masalah yang lebih serius, tetapi mungkin tidak menunjukkan akses data saat ini atau eksekusi kode tanpa izin.
Tingkat keseriusan Low
Kerentanan berisiko rendah menghambat kemampuan tim keamanan untuk mendeteksi kerentanan atau ancaman aktif dalam deployment mereka, atau mencegah penyelidikan penyebab utama masalah keamanan. Misalnya, skenario ketika pemantauan dan log dinonaktifkan untuk konfigurasi dan akses resource.
Ancaman berisiko rendah telah memperoleh akses minimal ke lingkungan, tetapi tidak dapat mengakses data, menjalankan kode, atau membuat resource.
Tingkat keseriusan Unspecified
Klasifikasi tingkat keparahan Unspecified menunjukkan bahwa layanan yang
menghasilkan temuan tidak menetapkan nilai tingkat keparahan untuk temuan tersebut.
Jika mendapatkan temuan dengan tingkat keparahan Unspecified, Anda perlu menilai sendiri tingkat keparahannya dengan menyelidiki temuan dan meninjau dokumentasi apa pun yang disediakan oleh produk atau layanan yang menghasilkan temuan tersebut.
Tingkat keparahan variabel
Tingkat keparahan temuan dalam kategori temuan dapat bervariasi berdasarkan keadaan tertentu.
Tingkat keparahan yang bervariasi berdasarkan skor eksposur serangan
Jika Anda menggunakan tingkat Enterprise pada Security Command Center, tingkat keparahan temuan kerentanan dan kesalahan konfigurasi mencerminkan risiko dari setiap temuan individu dengan lebih akurat, karena tingkat keparahan temuan dapat berubah untuk mencerminkan skor eksposur serangan dari temuan tersebut.
Dengan tingkat Enterprise, temuan kerentanan dan kesalahan konfigurasi diterbitkan dengan tingkat keparahan default atau dasar pengukuran yang umum untuk semua temuan dalam kategori temuan tertentu. Setelah temuan dikeluarkan, jika simulasi jalur serangan Security Command Center menentukan bahwa temuan tersebut mengekspos satu atau beberapa resource yang telah Anda tetapkan sebagai resource bernilai tinggi, simulasi akan menetapkan skor eksposur serangan untuk temuan tersebut dan meningkatkan tingkat keparahannya. Jika temuannya tetap aktif, tetapi simulasi kemudian mengurangi skor eksposur serangan, tingkat keparahan temuan juga dapat menurun, tetapi tidak lebih rendah dari level default aslinya.
Jika Anda menggunakan paket Premium atau tingkat Standar Security Command Center, tingkat keparahan semua temuan tetap statis.
Tingkat keparahan yang bervariasi berdasarkan masalah yang terdeteksi
Untuk beberapa kategori temuan, Security Command Center dapat menetapkan tingkat keparahan default yang berbeda untuk temuan, bergantung pada detail masalah keamanan yang terdeteksi.
Misalnya, klasifikasi tingkat keparahan temuan IAM anomalous grant yang dihasilkan oleh Event Threat Detection biasanya HIGH, tetapi jika temuan dibuat untuk memberikan izin sensitif ke peran IAM kustom, tingkat keparahannya adalah MEDIUM.
Melihat temuan tingkat keparahan di konsol Google Cloud
Anda dapat melihat temuan Security Command Center berdasarkan tingkat keparahan dalam beberapa cara di Konsol Google Cloud:
- Di halaman Ringkasan, Anda dapat melihat jumlah temuan di setiap tingkat keparahan yang aktif dalam resource di bagian Kerentanan per jenis resource.
- Di halaman Ancaman, Anda dapat melihat jumlah temuan ancaman yang ada di setiap tingkat keparahan.
- Di halaman Kerentanan, Anda dapat memfilter modul deteksi kerentanan yang ditampilkan menurut tingkat keparahan untuk hanya menampilkan modul yang memiliki temuan aktif pada tingkat keparahan tersebut.
- Di halaman Temuan, Anda dapat menambahkan filter untuk tingkat keparahan tertentu ke kueri temuan dari panel Filter cepat.