Sicherheitsquellen für Sicherheitslücken und Bedrohungen

>

Eine Liste der Google Cloud-Sicherheitsquellen, die in Security Command Center verfügbar sind. Wenn Sie eine Sicherheitsquelle aktivieren, werden Daten zu Sicherheitslücken und Bedrohungen im Security Command Center-Dashboard bereitgestellt.

Mit Security Command Center können Sie Sicherheitslücken und Sicherheitsbedrohungen auf viele verschiedene Arten filtern und ansehen, z. B. nach einem bestimmten Ergebnistyp, Ressourcentyp oder einem bestimmten Asset filtern. Jede Sicherheitsquelle kann weitere Filter enthalten, mit denen Sie die Ergebnisse Ihrer Organisation organisieren können.

Weitere Informationen finden Sie unter Dashboard von Security Command Center verwenden.

Sicherheitslücken

Die Sicherheitslückenerkennung kann Ihnen dabei helfen, mögliche Schwachstellen zu finden.

Security Health Analytics – Sicherheitslücken

Das von Security Health Analytics verwaltete Scannen der Sicherheitslückenbewertung für Google Cloud kann häufige Sicherheitslücken und Fehlkonfigurationen automatisch erkennen:

  • Cloud Monitoring und Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine-Container und -Netzwerke
  • cl
  • Cloud SQL
  • Identitäts- und Zugriffsverwaltung
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Security Health Analytics wird automatisch aktiviert, wenn Sie die Standard- oder Premium-Stufe von Security Command Center auswählen. Wenn Security Health Analytics aktiviert ist, werden Scans automatisch zweimal täglich im Abstand von 12 Stunden gescannt.

Security Health Analytics scannt viele Sicherheitslücken. Sie können die Ergebnisse nach Detektortyp gruppieren. Verwenden Sie Security Detect Analytics-Detektornamen, um Ergebnisse nach dem Ressourcentyp zu filtern, für den sie sich befinden.

Eine vollständige Liste der Detektoren und Ergebnisse der Security Health Analytics finden Sie auf der Seite Ergebnisse der Security Health Analytics oder maximieren Sie den folgenden Abschnitt.

Web Security Scanner

Web Security Scanner ermöglicht verwaltetes und benutzerdefiniertes Scannen auf Sicherheitslücken im Web für öffentliche App Engine-, GKE- und Compute Engine-Dienste.

Verwaltete Scans

Von Web Security Scanner verwaltete Scans werden von Security Command Center konfiguriert und verwaltet. Verwaltete Scans werden jede Woche automatisch ausgeführt, um öffentliche Webendpunkte zu erkennen und zu scannen. Bei diesen Scans wird keine Authentifizierung verwendet. Sie senden nur GET-Anfragen, sodass sie keine Formulare auf Live-Websites senden.

Verwaltete Scans werden getrennt von benutzerdefinierten Scans ausgeführt, die Sie auf Projektebene definieren. Mit verwalteten Scans können Sie die grundlegende Erkennung von Sicherheitslücken in Webanwendungen für Projekte in Ihrer Organisation zentral verwalten, ohne einzelne Projektteams einzubeziehen. Wenn Ergebnisse gefunden werden, können Sie mit diesen Teams zusammenarbeiten, um umfassendere benutzerdefinierte Scans einzurichten.

Wenn Sie Web Security Scanner als Dienst aktivieren, sind die Ergebnisse des verwalteten Scans automatisch auf dem Tab "Sicherheitslücken" des Security Command Center und in zugehörigen Berichten verfügbar. Informationen zum Aktivieren verwalteter Scans in Web Security Scanner finden Sie unter Security Command Center konfigurieren.

Benutzerdefinierte Scans

Benutzerdefinierte Scans von Web Security Scanner liefern detaillierte Informationen zu Ergebnissen in Bezug auf die Anwendungssicherheit, wie veraltete Bibliotheken, Cross-Site-Scripting oder Verwendung von gemischten Inhalten. Benutzerdefinierte Scanergebnisse sind in Security Command Center verfügbar, nachdem Sie den Leitfaden zum Einrichten benutzerdefinierter Web Security Scanner-Scans befolgt haben.

Diese Tabellen enthalten eine Beschreibung der Zuordnung zwischen unterstützten Detektoren und der Best-Effort-Zuordnung zu relevanten Compliance-Systemen.

Die Zuordnungen von CIS Google Cloud Foundation 1.0 wurden vom Center for Internet Security auf die Übereinstimmung mit dem CIS Google Cloud Computing Foundations Benchmark v1.0.0 geprüft und zertifiziert. Zusätzliche Compliance-Zuordnungen sind zu Referenzzwecken enthalten und werden nicht vom Payment Card Industry Data Security Standard oder der OWASP Foundation bereitgestellt oder geprüft. Weitere Informationen finden Sie unter CIS Google Cloud Computing Foundations Benchmark v1.0.0 (CIS Google Cloud Foundation 1.0), Payment Card Industry Data Security Standard 3.2.1 (PCI-DSS v3.2.1) OWASP Top Ten, National Institute of Standards and Technology 800-53 (NIST 800-53) und International Organization for Standardization 27001 (ISO 27001) zur manuellen Prüfung auf diese Verstöße.

Diese Funktion dient lediglich zur Überwachung auf Verstöße gegen die Compliance-Vorkehrungen. Die Zuordnungen dienen nicht als Grundlage bzw. Ersatz für die Prüfung, Zertifizierung oder Bestätigung der Compliance Ihrer Produkte oder Dienstleistungen gemäß aller regulatorischen oder branchenspezifischen Benchmarks oder Standards.

Im Folgenden finden Sie Typen, die von benutzerdefinierten und verwalteten Scans von Web Security Scanner identifiziert werden. In der Standardstufe unterstützt Web Security Scanner benutzerdefinierte Scans von bereitgestellten Anwendungen mit öffentlichen URLs und IP-Adressen, die sich nicht hinter einer Firewall befinden.

Tabelle 18. Web Security Scanner-Ergebnisse
Category Ergebnisbeschreibung CIS GCP Foundation 1.0 PCI DSS v3.2.1 OWASP Top 10 NIST 800–53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Ein GIT-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den unbeabsichtigten öffentlichen Zugriff auf das GIT-Repository. A3
ACCESSIBLE_SVN_REPOSITORY Ein SVN-Repository ist öffentlich zugänglich. Um dieses Problem zu beheben, entfernen Sie den öffentlichen Zugriff auf das SVN-Repository. A3
CLEAR_TEXT_PASSWORD Passwörter werden in Klartext übertragen und können abgefangen werden. Um dieses Problem zu beheben, verschlüsseln Sie das über das Netzwerk übertragene Passwort. A3
INVALID_CONTENT_TYPE Die geladene Ressource stimmt nicht mit dem Content-Type HTTP-Header der Antwort überein. Um dieses Problem zu lösen, legen Sie für den HTTP-Header "X-Content-Type-Options" den richtigen Wert fest. A6
INVALID_HEADER Ein Sicherheitsheader hat einen Syntaxfehler und wird von Browsern ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. A6
MISMATCHING_SECURITY_HEADER_VALUES Ein Sicherheitsheader hat doppelte, nicht übereinstimmende Werte, was zu nicht definiertem Verhalten führt. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. A6
MISSPELLED_SECURITY_HEADER_NAME Ein Sicherheitsheader ist falsch geschrieben und wird ignoriert. Um dieses Problem zu beheben, legen Sie die HTTP-Sicherheitsheader richtig fest. A6
MIXED_CONTENT Ressourcen werden über HTTP auf einer HTTPS-Seite bereitgestellt. Achten Sie zur Behebung dieses Problems darauf, dass alle Ressourcen über HTTPS bereitgestellt werden. A6
OUTDATED_LIBRARY Es wurde eine Bibliothek mit bekannten Sicherheitslücken gefunden. Aktualisieren Sie die Bibliotheken auf eine neuere Version, um dieses Problem zu beheben. A9
XSS Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff (XSS). Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten. A7
XSS_ANGULAR_CALLBACK Ein vom Nutzer bereitgestellter String ist nicht maskiert und kann von AngularJS interpoliert werden. Um dieses Problem zu beheben, validieren und maskieren Sie nicht vertrauenswürdige vom Nutzer bereitgestellte Daten, die vom Angular-Framework verarbeitet werden. A7
XSS_ERROR Ein Feld in dieser Webanwendung ist anfällig für einen Cross-Site-Scripting-Angriff. Um dieses Problem zu beheben, validieren und maskieren Sie vom Nutzer bereitgestellte nicht vertrauenswürdige Daten. A7

Bedrohungen

Mit Bedrohungsdetektoren können Sie potenziell schädliche Ereignisse finden.

Anomalieerkennung

Anomalieerkennung ist ein integrierter Dienst, der Verhaltenssignale von außerhalb Ihres Systems verwendet. Er zeigt detaillierte Informationen zu erkannten Sicherheitsanomalien für Ihre Projekte und VM-Instanzen an, z. B. potenzielle gehackte Anmeldedaten und Mining von Münzen. Die Anomalieerkennung wird automatisch aktiviert, wenn Sie die Security Command Center Standard- oder Premium-Stufe abonnieren. Die Ergebnisse sind im Dashboard von Security Command Center verfügbar.

Beispiele für Ergebnisse der Anomalieerkennung:

Tabelle B. Anomaliekategorien bei der Anomalieerkennung
Manipulationspotenzial Beschreibung
account_has_leaked_credentials Anmeldedaten für ein Google Cloud-Dienstkonto wurden versehentlich online offengelegt oder manipuliert.
resource_compromised_alert Potenzielle Manipulation einer Ressource in Ihrer Organisation.
Missbrauchsszenarien Beschreibung
resource_involved_in_coin_mining Verhaltenssignale um eine VM in Ihrer Organisation weisen darauf hin, dass eine Ressource möglicherweise manipuliert wurde und für Cryptomining verwendet wird.
outgoing_intrusion_attempt Angriffe und Portscans: Eine der Ressourcen oder Google Cloud-Dienste in Ihrer Organisation werden für Angriffsaktivitäten verwendet, z. B. für den Versuch, in ein Zielsystem einzubrechen oder es zu manipulieren. Dazu gehören SSH-Brute-Force-Angriffe, Port-Scans und FTP-Brute-Force-Angriffe.
resource_used_for_phishing Eine der Ressourcen oder Google Cloud-Dienste in Ihrer Organisation werden für Phishing verwendet.

Container Threat Detection

Container Threat Detection kann die gängigsten Containerlaufzeit-Angriffe erkennen und Sie in Security Command Center sowie optional in Cloud Logging benachrichtigen. Container Threat Detection umfasst mehrere Erkennungsfunktionen, ein Analysetool und eine API.

Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel, um die folgenden Ereignisse zu erkennen:

  • Ausgeführte Binärdatei hinzugeführt
  • Hinzugefügte Mediathek geladen
  • Reverse Shell

Weitere Informationen zu Container Threat Detection.

Cloud Data Loss Prevention

Mit Cloud DLP Data Discovery können Sie die Ergebnisse der Cloud DLP-Scans in Cloud Data Loss Prevention direkt im Dashboard des Security Command Center und in Finding Inventory darstellen. Mit Cloud DLP können Sie sensible Daten und personenidentifizierbare Informationen (PII) besser verstehen und verwalten:

  • Kreditkartennummern
  • Namen
  • Sozialversicherungsnummern
  • USA und ausgewählte internationale Identifikationsnummern
  • Telefonnummern
  • Google Cloud-Anmeldedaten

Jedes Cloud DLP Data Discovery-Ergebnis enthält nur den Kategorietyp der identifizierten PII-Daten und die Ressource, in der es gefunden wurde. Es enthält keine der spezifischen zugrunde liegenden Daten.

Nachdem Sie die in der Anleitung beschriebenen Einrichtungsschritte zum Senden von DLP API-Ergebnisse an Security Command Center ausgeführt haben, werden die Ergebnisse des Cloud DLP-Scans in Security Command Center angezeigt.

Weitere Informationen:

Event Threat Detection

Event Threat Detection verwendet Logdaten innerhalb Ihrer Systeme. Es beobachtet den Cloud Logging-Stream Ihrer Organisation für ein oder mehrere Projekte und verbraucht Logs, sobald sie verfügbar sind. Wenn eine Bedrohung erkannt wird, schreibt Event Threat Detection ein Ergebnis in Security Command Center und in ein Cloud Logging-Projekt. Event Threat Detection wird automatisch aktiviert, wenn Sie die Premium-Stufe für Security Command Center abonnieren. Die Ergebnisse sind im Dashboard von Security Command Center verfügbar.

Beispiele für Ergebnisse von Event Threat Detection:

Tabelle C. Event Threat Detection-Typen
Daten-Exfiltration

Event Threat Detection erkennt die Daten-Exfiltration in BigQuery, indem Audit-Logs für zwei Szenarien analysiert werden:

  • Eine Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird.
  • Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.
Brute-Force-SSH Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg.
Kryptomining Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains für Mining-Pools untersucht werden.
IAM-Missbrauch

Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:

  • Hinzufügen eines gmail.com-Nutzers zu einer Richtlinie mit der Rolle des Projektbearbeiters.
  • Einladen eines gmail.com-Nutzers als Projektinhaber über die Google Cloud Console.
  • Dienstkonto, das vertrauliche Berechtigungen gewährt.
  • Benutzerdefinierte Rollen sensible Berechtigungen gewährt.
  • Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.
Malware Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht.
Phishing Event Threat Detection erkennt Phishing, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Phishing-Domains und IP-Adressen untersucht.

Weitere Informationen zu Event Threat Detection.

Forseti Security

Forseti Security bietet Ihnen Tools, mit denen Sie sich einen Überblick über alle Ressourcen in Google Cloud verschaffen können. Die Forseti-Kernmodule arbeiten zusammen, um vollständige Informationen bereitzustellen, sodass Sie Ressourcen sichern und Sicherheitsrisiken minimieren können.

Folgen Sie der Anleitung im Benachrichtigungsleitfaden für Security Command Center von Forseti, um Verstoß-Benachrichtigungen von Forseti im Security Command Center anzuzeigen.

Weitere Informationen:

Phishing-Schutz

Der Phishing-Schutz hilft dabei, Nutzer am Zugriff auf Phishing-Websites zu hindern, indem bösartige Inhalte, die Ihre Marke verwenden, klassifiziert und die unsicheren URLs an Google Safe Browsing gemeldet werden. Wenn eine Website in die Safe Browsing-Liste eingetragen wurde, erhalten Nutzer auf mehr als drei Milliarden Geräten Warnmeldungen.

Eine Anleitung zum Phishing-Schutz finden Sie unter Phishing-Schutz aktivieren. Nachdem Sie den Phishing-Schutz aktiviert haben, werden die Ergebnisse im Security Command Center auf der Karte Phishing-Schutz unter Ergebnisse angezeigt.

Nächste Schritte