Fuentes de seguridad para vulnerabilidades y amenazas

>

Esta página contiene una lista de las fuentes de seguridad de Google Cloud que están disponibles en Security Command Center. Cuando habilitas una fuente de seguridad, proporciona vulnerabilidades y datos de amenazas en el panel de Security Command Center.

Security Command Center te permite filtrar y ver las vulnerabilidades y los resultados de las amenazas de muchas maneras diferentes, como filtrar en un tipo de resultado específico, un tipo de recurso o un recurso específico. Cada fuente de seguridad puede proporcionar más filtros para ayudarte a organizar los resultados de tu organización.

Para obtener más información, consulta Usa el panel de Security Command Center.

Vulnerabilidades

Los detectores de vulnerabilidades pueden ayudarte a encontrar debilidades potenciales en tus recursos de Google Cloud.

Tipos de vulnerabilidades de estadísticas de estado de seguridad

El análisis de evaluación de vulnerabilidades de Security Health Analytics para Google Cloud puede detectar de forma automática las vulnerabilidades y configuraciones incorrectas de forma automática en los siguientes servicios:

  • Cloud Monitoring y Cloud Logging
  • Compute Engine
  • Contenedores y redes de Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Administración de identidades y accesos (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Security Health Analytics se habilita de forma automática cuando seleccionas el nivel Estándar o Premium de Security Command Center. Los detectores de estado de seguridad supervisan un subconjunto de recursos de Cloud Asset Inventory (CCI), mediante los siguientes tres modos de análisis para detectar vulnerabilidades:

  • Análisis por lotes: todos los detectores están programados para ejecutarse para todas las organizaciones inscritas dos o más veces al día. Los detectores se ejecutan en diferentes programaciones para cumplir con objetivos de nivel de servicio (SLO) específicos. Para cumplir con los SLO de 12 y 24 horas, los detectores ejecutan análisis por lotes cada seis horas o 12 horas, respectivamente. Los cambios de recursos y políticas que ocurren entre análisis por lotes no se capturan de inmediato y se aplican en el siguiente análisis por lotes. Nota: Los programas de análisis por lotes son objetivos de rendimiento, no garantías de servicio.

  • Análisis en tiempo real: Los detectores compatibles comienzan a analizar cada vez que el CAI informa un cambio en la configuración de un elemento. Los resultados se escriben de inmediato en Security Command Center.

  • Modo mixto:Algunos detectores que admiten análisis en tiempo real pueden no detectar cambios en tiempo real en todos los elementos compatibles. En esos casos, los cambios de configuración de algunos elementos se capturan de inmediato y otros se capturan en análisis por lotes.

Para ver una lista completa de los detectores y resultados de Security Health Analytics, consulta la página Resultados de Security Health Analytics o expande la siguiente sección.

Web Security Scanner

Web Security Scanner proporciona análisis de vulnerabilidades web administradas y personalizadas para aplicaciones web públicas de App Engine, GKE y Compute Engine.

Análisis administrados

Security Command Center configura y administra los análisis administrados de Web Security Scanner. Los análisis administrados se ejecutan automáticamente una vez por semana para detectar y analizar extremos web públicas. Estos análisis no usan la autenticación y envían solicitudes solo de GET para que no envíen formularios en sitios web activos.

Los análisis administrados se ejecutan de forma separada de los análisis personalizados que defines a nivel de proyecto. Puedes usar los análisis administrados para gestionar de forma centralizada la detección de vulnerabilidades de las aplicaciones web básicas en los proyectos de tu organización, sin necesidad de incluir equipos de proyectos individuales. Cuando se detectan los resultados, puedes trabajar con esos equipos para configurar análisis personalizados más completos.

Cuando habilitas el Web Security Scanner como un servicio, los resultados de análisis administrados quedan disponibles automáticamente en la pestaña de vulnerabilidades de Security Command Center y en los informes relacionados. Para obtener información sobre cómo habilitar los análisis administrados de Web Security Scanner, consulta cómo configurar el Security Command Center.

Análisis personalizados

Los análisis personalizados de Web Security Scanner proporcionan información detallada sobre los resultados de vulnerabilidades de la aplicación, como las bibliotecas desactualizadas, las secuencias de comandos entre sitios o el uso de contenido mixto. Los resultados de análisis personalizados están disponibles en Security Command Center después de completar la guía para configurar análisis personalizados de Web Security Scanner.

En estas tablas, se incluye una descripción de la asignación entre los detectores admitidos y la mejor asignación a los regímenes de cumplimiento relevantes.

Las asignaciones del CIS para la Google Cloud Foundation 1.0 han sido certificadas y certificadas por el Centro para la Seguridad de Internet a fin de alinearlas con las comparativas de CIS para Google Cloud Computing Foundations v1.0.0. Las asignaciones de cumplimiento adicionales se incluyen como referencia y no se proporcionan ni revisan mediante el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago o OWASP Foundation. Debes consultar las comparativas de CIS para Google Cloud Computing Foundation v1.0.0 (CIS para Google Cloud Foundation 1.0), el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago 3.2.1 (PCI-DSS v3.2.1), los 10 mejores de OWASP, Instituto Nacional de Estándares y Tecnología 800-53 (NIST 800-53) y Organización Internacional de Normalización 27001 (ISO 27001) a fin de verificar estos incumplimientos de forma manual.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier comparativa o estándar regulatoria o industrial.

Los análisis administrados y personalizados de Web Security Scanner identifican los siguientes tipos de hallazgos. En el nivel Estándar, Web Security Scanner admite los análisis personalizados de aplicaciones implementadas con URL e IP públicas que no están detrás de un firewall.

Tabla 18.Resultados de Web Security Scanner
Categoría Descripción de los resultados CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un repositorio de Git se expone públicamente. Para resolver este descubrimiento, quita el acceso público no intencional al repositorio de GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un repositorio de SVN se expone públicamente. Para resolver este resultado, quita el acceso público no intencional al repositorio de SVN. A3
CLEAR_TEXT_PASSWORD Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver este descubrimiento, encripta la contraseña transmitida a través de la red. A3
INVALID_CONTENT_TYPE Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver este hallazgo, configura el encabezado HTTP `X-Content-Type-Options` con el valor correcto. A6
INVALID_HEADER Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para resolver este resultado, configura los encabezados de seguridad HTTP de forma correcta. A6
MISMATCHING_SECURITY_HEADER_VALUES Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para resolver este resultado, configura los encabezados de seguridad HTTP de forma correcta. A6
MISSPELLED_SECURITY_HEADER_NAME Un encabezado de seguridad está mal escrito y se ignora. Para resolver este resultado, configura los encabezados de seguridad HTTP de forma correcta. A6
MIXED_CONTENT Los recursos se envían a través de HTTP en una página HTTPS. Para resolver este resultado, asegúrate de que todos los recursos se entreguen a través de HTTPS. A6
OUTDATED_LIBRARY Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver este resultado, actualiza las bibliotecas a una versión más reciente. A9
XSS Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver este resultado, valida y reemplaza los datos no proporcionados que son proporcionados por el usuario. A7
XSS_ANGULAR_CALLBACK No se debe escapar de una string proporcionada por el usuario y AngularJS puede interpolarla. Para solucionar este problema, valida y reemplaza los datos que no son de confianza proporcionados por los usuarios y que son controlados por el marco de trabajo de Angular. A7
XSS_ERROR Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para solucionar este problema, valida y reemplaza los datos que no son de confianza proporcionados por los usuarios. A7

Amenazas

Los detectores de amenazas pueden ayudarte a encontrar eventos potencialmente dañinos.

Detección de anomalías

La detección de anomalías es un servicio integrado que usa señales de comportamiento desde fuera del sistema. Muestra información detallada sobre las anomalías de seguridad detectadas para tus instancias de máquina virtual (VM), como potenciales filtraciones de credenciales y minería de criptomonedas. La detección de anomalías se habilita de forma automática cuando te suscribes al nivel Premium o Estándar de Security Command Center, y los resultados están disponibles en el panel de Security Command Center.

Estos son algunos ejemplos de resultados de la detección de anomalías:

Tabla B. Categorías de resultados de detección de anomalías
Potencial de compromiso Descripción
account_has_leaked_credentials Las credenciales para una cuenta de servicio de Google Cloud se filtran accidentalmente en línea o se ven comprometidas.
resource_compromised_alert Posible compromiso de un recurso en tu organización.
Situaciones de abuso Descripción
resource_involved_in_coin_mining Las señales de comportamiento en torno a una VM de tu organización indican que puede haber sido comprometida y podría estar en uso para la criptominería.
outgoing_intrusion_attempt Intentos de intrusión y análisis de puertos: uno de los recursos o servicios de Google Cloud de tu organización se usa para actividades de intrusión, como un intento de vulnerar o comprometer un sistema objetivo. Estos incluyen ataques de fuerza bruta de SSH, análisis de puertos y ataques de fuerza bruta de FTP.
resource_used_for_phishing Uno de los recursos o servicios de Google Cloud de tu organización se usa para la suplantación de identidad (phishing).

Detección de amenazas a contenedores

Container Threat Detection puede detectar los ataques más comunes en el entorno de ejecución del contenedor y alertarte en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, una herramienta de análisis y una API.

La instrumentación de detección de Container Threat Detection recopila un nivel bajo en el kernel invitado para detectar los siguientes eventos:

  • Se ejecutó el objeto binario añadido
  • Se cargó la biblioteca agregada
  • Shells inversas

Obtén más información sobre Detección de amenazas a contenedores.

Cloud Data Loss Prevention

Cloud DLP Data Discovery te permite mostrar los resultados de Cloud Data Loss Prevention (Cloud DLP) directamente en el panel de Security Command Center y encontrar el inventario. Cloud DLP puede ayudarte a comprender y administrar mejor los datos sensibles y la información de identificación personal (PII), como las siguientes:

  • números de tarjetas de crédito
  • Nombres
  • Números de identificación personal
  • Números de identificación de EE.UU. e internacionales seleccionados
  • Números de teléfono
  • Las credenciales de Google Cloud

Cada resultado de Cloud DLP Data Discovery solo incluye el tipo de categoría de los datos de PII identificados y el recurso en el que se encontraron. No incluye ninguno de los datos subyacentes específicos.

Una vez completados los pasos de configuración descritos en la guía para enviar resultados de la API de DLP a Security Command Center, los resultados del análisis de Cloud DLP se mostrarán en Security Command Center.

Para obtener más información, sigue estas sugerencias:

Event Threat Detection

Event Threat Detection usa datos de registro dentro de tus sistemas. Detecta la transmisión de Cloud Logging de tu organización para uno o más proyectos y consume registros a medida que están disponibles. Cuando se detecta una amenaza, Event Threat Detection escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Event Threat Detection se habilita de forma automática cuando te suscribes al nivel Premium de Security Command Center y los resultados están disponibles en el panel de Security Command Center.

Estos son algunos ejemplos de resultados de Event Threat Detection:

Tabla C. Tipos de resultados de Event Threat Detection
Robo de datos

Event Threat Detection detecta el robo de datos de BigQuery mediante el análisis de los registros de auditoría para dos situaciones:

  • Un recurso se guarda fuera de la organización o se intenta una operación de copia que está bloqueada por los Controles del servicio de VPC.
  • Se intenta acceder a los recursos de BigQuery que los Controles del servicio de VPC protegen.
Ataques de fuerza bruta a SSH Event Threat Detection detecta la fuerza bruta de SSH mediante la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de errores repetidos seguidos de un éxito.
Criptominería Event Threat Detection detecta el software malicioso de creación de criptomonedas mediante el análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos conocidos para grupos mineros.
Abuso de IAM

Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalos, como los siguientes:

  • Agregar un usuario gmail.com a una política con la función de editor de proyectos
  • Invitar a un usuario de gmail.com como propietario del proyecto de Google Cloud Console
  • Cuenta de servicio que otorga permisos sensibles
  • La función personalizada otorgó permisos sensibles
  • Se agregó la cuenta de servicio desde fuera de la organización.
Software Malicioso Event Threat Detection detecta software malicioso mediante la examinación de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con las IP y los dominios de control y comandos conocidos.
Suplantación de identidad Event Threat Detection detecta la suplantación de identidad (phishing) mediante la evaluación de los registros de flujo de VPC y de los registros de Cloud DNS para conexiones a IP y dominios de suplantación de identidad (phishing) conocidos.
DoS Salientes La Detección de eventos de amenazas examina los registros de flujo de VPC para detectar denegación saliente del tráfico de servicio.
Comportamiento de IAM anómalo
Vista previa
La detección de eventos de amenazas detecta los comportamientos de IAM anómalos mediante la examinación de los registros de auditoría de Cloud de los accesos de direcciones IP anómalas y usuarios anómalos.
Autoevaluación de la cuenta de servicio La Detección de eventos de amenazas detecta cuando se usa una credencial de cuenta de servicio para investigar las funciones y los permisos asociados con esa misma cuenta de servicio.

Obtén más información sobre Event Threat Detection.

Seguridad de Foresti

Forseti Security te brinda herramientas para comprender todos los recursos que tienes en Google Cloud. Los módulos principales de Forseti funcionan en conjunto para proporcionar información completa de modo que puedas proteger los recursos y minimizar los riesgos de seguridad.

Para mostrar las notificaciones de incumplimiento de Forseti en Security Command Center, sigue la Guía de notificación de Security Command Center de Forseti.

Para obtener más información, sigue estas sugerencias:

Phishing Protection

La protección contra la suplantación de identidad (phishing) ayuda a evitar que los usuarios accedan a los sitios de suplantación de identidad (phishing). Con ese fin, clasifica el contenido malicioso que usa tu marca e informa las URL inseguras a la Navegación segura de Google. Después de que un sitio se propaga a Navegación segura, los usuarios ven advertencias en más de 3,000 millones de dispositivos.

Para comenzar a usar la protección contra suplantación de identidad, sigue la guía Habilita la protección contra la suplantación de identidad (phishing). Una vez que habilites la protección contra suplantación de identidad, los resultados se mostrarán en Security Command Center en la tarjeta Protección contra suplantación de identidad (phishing), en Resultados.

¿Qué sigue?