发现结果严重程度

本页面介绍了 Security Command Center 发现结果的 severity 属性及其可能的值。

severity 属性提供了一个一般指标,用于指示修复特定发现结果类别或(在某些情况下)子类别的发现结果的重要性。

通常,您应该在修复 LOW 严重性发现结果之前修复 HIGH 严重性发现结果,但根据受影响的资源或其他注意事项,修复特定 LOW 严重性发现结果可能比修复 HIGH 严重性发现结果更重要。

严重程度与攻击风险得分对比

您可以同时使用发现结果严重程度和发现严重攻击风险得分来优先处理发现结果,但请务必了解两者之间的区别。

严重程度是根据发现结果的类别预先确定的一般指标。系统会为给定类别或子类别中的所有发现结果指定相同的默认严重级别。

攻击风险得分是对发现结果发出后计算得出的动态指标。该得分特定于发现结果实例,并基于许多因素,包括发现结果影响的资源实例以及假设的攻击者从潜在访问点遍历路径到受影响的高价值资源时所面临的难度。

所有发现结果都可以具有严重级别。只有攻击路径模拟支持的漏洞和错误配置发现结果才有攻击风险得分

在确定漏洞和配置错误发现结果的优先级时,首先根据攻击风险得分确定优先级,然后再按严重级别确定优先级。

严重级别

Security Command Center 使用以下严重级别分类;当 Google Cloud 控制台中显示发现结果时,这些严重级别分类显示在严重级别列中:

  • Critical
  • High
  • Medium
  • Low
  • Unspecified

Critical 严重级别

严重漏洞很容易被发现,并且可被利用而导致直接执行任意代码、外泄数据,甚至获得云端资源和工作流的其他访问权限和特权。例如,可公开访问的用户数据以及密码较弱或无密码的公开 SSH 访问权限。

严重威胁能够访问、修改或删除数据,或在现有资源中执行未经授权的代码。

关键的 SCC error 类发现结果意味着以下任意一项:

  • 配置错误会阻止 Security Command Center 生成任何严重程度的新发现结果。
  • 配置错误会导致您无法查看服务的所有发现结果。
  • 配置错误会阻止攻击路径模拟生成攻击风险得分和攻击路径。

High 严重级别

高风险漏洞很容易被发现,并且可与其他漏洞一起利用而获得直接存取权限来执行任意代码或外泄数据,以及获得资源和工作负载的其他访问权限和特权。例如,密码较弱或无密码且只能通过内部访问的数据库可能会被有权访问内部网络的操作者破解。

高风险威胁能够在环境中创建计算资源,但无法在现有资源中访问数据或执行代码。

高风险的 SCC error 类发现结果表明配置错误导致以下任何问题:

  • 您无法查看或导出服务的某些发现结果。
  • 对于攻击路径模拟,攻击风险得分和攻击路径可能不完整或不准确。

Medium 严重级别

操作者可以使用中风险漏洞来获取资源的访问权限或特权,从而使他们最终获得访问权限并能够泄露数据或执行任意代码。例如,如果某个服务账号拥有不必要的项目访问权限,而操作者获取了该服务账号的访问权限,则操作者可以使用该服务账号来操控项目。

中风险威胁可能会造成更严重的问题,但可能无法指示当前的数据访问权限或未经授权的代码执行。

Low 严重级别

低风险漏洞会影响安全团队在部署中检测漏洞或有效威胁的能力,或阻止调查安全问题的根本原因。例如,假设停用了资源配置和访问权限的监控和日志记录功能。

低风险威胁获得了最低环境访问权限,但无法访问数据、执行代码或创建资源。

Unspecified 严重级别

Unspecified 严重级别分类表示生成发现结果的服务未设置发现结果的严重级别值。

如果发现结果的严重级别为 Unspecified,您需要自行评估严重级别,方法是调查发现结果并查看生成发现结果的产品或服务提供的任何文档。

可变严重级别

在某些情况下,发现结果类别中发现结果的严重程度可能会有所不同。

严重程度因攻击风险得分而异

如果您使用的是 Security Command Center 的企业层级,则漏洞和配置错误发现结果的严重级别会更准确地反映每个发现结果的风险,因为发现结果的严重程度可能会发生变化,以反映发现结果的攻击风险得分。

对于企业层级,漏洞和配置错误发现结果具有默认或基准严重级别,对于给定发现结果类别的所有发现结果而言,此严重级别是通用的。发现发现结果后,如果 Security Command Center 的攻击路径模拟确定该发现结果公开了您已指定为高价值资源的一个或多个资源,模拟会为该发现结果分配攻击风险得分,并相应地提高严重级别。如果发现结果仍然有效,但之后模拟降低了攻击风险得分,则发现结果的严重级别也可能会降低,但不会低于原始默认级别。

如果您使用的是 Security Command Center 的高级层级或标准层级,则所有发现结果的严重级别将保持静态。

严重程度因检测到的问题而异

对于少数发现结果类别,Security Command Center 可以根据检测到的安全问题的具体情况,为发现结果分配不同的默认严重级别。

例如,由 Event Threat Detection 生成的 IAM anomalous grant 发现结果的严重级别分类通常为 HIGH,但如果发现结果是针对向自定义 IAM 角色授予敏感权限生成的,则严重级别为 MEDIUM

在 Google Cloud 控制台中查看发现结果的严重程度

您可以在 Google Cloud 控制台中通过多种方式按严重性查看 Security Command Center 发现结果:

  • 概览页面的每种资源类型的漏洞部分,您可以查看资源中处于每个严重级别的发现结果数量。
  • 威胁页面上,您可以查看每个严重级别存在的威胁发现结果数量。
  • 漏洞页面上,您可以按严重级别过滤显示的漏洞检测模块,以仅显示具有该严重级别发现结果的模块。
  • 发现结果页面上,您可以在快速过滤条件面板中的发现结果查询中添加特定严重级别的过滤条件。