Fuentes de seguridad para vulnerabilidades y amenazas

En esta página, se muestra una lista de las fuentes de seguridad de Google Cloud que están disponibles en Security Command Center. Cuando habilitas una fuente de seguridad, esta proporciona datos de vulnerabilidad y amenazas en el panel de Security Command Center.

Security Command Center te permite filtrar y ver las vulnerabilidades y los hallazgos de amenazas de muchas formas diferentes, como filtrar según un tipo de hallazgo específico, un tipo de recurso o un elemento específico. Cada fuente de seguridad podría proporcionar más filtros para ayudarte a organizar los hallazgos de tu organización.

Las funciones de Security Command Center se otorgan a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar hallazgos, elementos, fuentes de seguridad y marcas de seguridad depende del nivel para el que se te otorga acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Vulnerabilidades

Los detectores de vulnerabilidades pueden ayudarte a encontrar posibles debilidades en tus recursos de Google Cloud.

Tipos de vulnerabilidades de estadísticas de estado de seguridad

El análisis de evaluaciones de vulnerabilidades administrado por estadísticas del estado de la seguridad para Google Cloud puede detectar automáticamente vulnerabilidades comunes y configuraciones incorrectas, en los siguientes productos:

  • Cloud Monitoring y Cloud Logging
  • Compute Engine
  • Contenedores y redes de Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Administración de identidades y accesos (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Security Health Analytics se habilita de forma automática cuando seleccionas el nivel Estándar o Premium de Security Command Center. Los detectores de Security Health Analytics supervisan un subconjunto de recursos de Cloud Asset Inventory (CAI) mediante los siguientes tres modos de análisis para detectar vulnerabilidades:

  • Análisis por lotes: Todos los detectores están programados para ejecutarse en todas las organizaciones inscritas dos o más veces al día. Los detectores se ejecutan con diferentes programas para cumplir con objetivos de nivel de servicio (SLO) específicos. Para cumplir con los SLO de 12 y 24 horas, los detectores ejecutan análisis por lotes cada seis horas o 12 horas, respectivamente. Los cambios en los recursos y las políticas que ocurren entre los análisis por lotes no se capturan de inmediato y se aplican en el siguiente análisis por lotes. Nota: Los programas de análisis por lotes son objetivos de rendimiento, no garantías de servicio.

  • Análisis en tiempo real: Los detectores compatibles inician análisis cada vez que CAI informa un cambio en la configuración de un elemento. Los resultados se escriben de inmediato en Security Command Center.

  • Modo mixto: Es posible que algunos detectores que admitan análisis en tiempo real no detecten cambios en tiempo real en todos los elementos admitidos. En esos casos, los cambios de configuración para algunos elementos se capturan de inmediato y otros se capturan en los análisis por lotes.

Para ver una lista completa de los detectores y resultados de Security Health Analytics, consulta la página Resultados de Security Health Analytics o expande la siguiente sección.

Web Security Scanner

Web Security Scanner proporciona análisis de vulnerabilidades web administradas y personalizadas para aplicaciones web públicas de App Engine, GKE y Compute Engine.

Análisis administrados

Security Command Center configura y administra los análisis administrados de Web Security Scanner. Los análisis administrados se ejecutan automáticamente una vez por semana para detectar y analizar extremos web públicas. Estos análisis no usan la autenticación y envían solicitudes solo de GET para que no envíen formularios en sitios web activos.

Los análisis administrados se ejecutan de forma separada de los análisis personalizados que defines a nivel de proyecto. Puedes usar los análisis administrados para gestionar de forma centralizada la detección de vulnerabilidades de las aplicaciones web básicas en los proyectos de tu organización, sin necesidad de incluir equipos de proyectos individuales. Cuando se detectan los resultados, puedes trabajar con esos equipos para configurar análisis personalizados más completos.

Cuando habilitas el Web Security Scanner como un servicio, los resultados de análisis administrados quedan disponibles automáticamente en la pestaña de vulnerabilidades de Security Command Center y en los informes relacionados. Para obtener información sobre cómo habilitar los análisis administrados de Web Security Scanner, consulta cómo configurar el Security Command Center.

Análisis personalizados

Los análisis personalizados de Web Security Scanner proporcionan información detallada sobre los resultados de vulnerabilidades de la aplicación, como las bibliotecas desactualizadas, las secuencias de comandos entre sitios o el uso de contenido mixto. Los resultados de análisis personalizados están disponibles en Security Command Center después de completar la guía para configurar análisis personalizados de Web Security Scanner.

Detectores y cumplimiento

Web Security Scanner admite un subconjunto de categorías en OWASP Top Ten, un documento que clasifica y proporciona orientación de solución para los 10 riesgos de seguridad de aplicaciones web más importantes, según lo determinado, por el proyecto de seguridad de aplicaciones web (OWASP) Para obtener orientación sobre cómo mitigar los riesgos de OWASP, consulta las 10 opciones de mitigación de OWASP en Google Cloud.

La asignación de cumplimiento se incluye como referencia y no se proporciona ni se revisa mediante OWASP Foundation.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier comparativa o estándar regulatoria o industrial.

Los análisis personalizados y administrados de Web Security Scanner identifican los siguientes tipos de resultados. En el nivel Estándar, Web Security Scanner admite los análisis personalizados de aplicaciones implementadas con URL e IP públicas que no están detrás de un firewall.

Tabla 20. Hallazgos de Web Security Scanner
Categoría Descripción del resultado CIS para GCP Foundation 1.0 PCI-DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. A3
CLEAR_TEXT_PASSWORD Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red. A3
INVALID_CONTENT_TYPE Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver esto, configura el encabezado HTTP "X-Content-Type-Options" con el valor correcto. A6
INVALID_HEADER Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MISMATCHING_SECURITY_HEADER_VALUES Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MISSPELLED_SECURITY_HEADER_NAME Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MIXED_CONTENT Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS. A6
OUTDATED_LIBRARY Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. A9
XSS Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario. A7
XSS_ANGULAR_CALLBACK La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver resultado, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla. A7
XSS_ERROR Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario. A7

VM Manager

VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.

Si habilitas VM Manager y estás suscrito a Security Command Center Premium, VM Manager escribe de forma automática los resultados de sus informes de vulnerabilidades, que se encuentran en vista previa a Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos (SO) instalados en las VM, incluidas las vulnerabilidades y riesgos comunes (CVE).

Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.

Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos. Actualmente, VM Manager admite la administración de parches a nivel de proyecto único.

Para solucionar los resultados de VM Manager, consulta Soluciona los problemas de VM Manager.

Para evitar que se escriban informes de vulnerabilidades en Security Command Center, consulta Inhabilita informes de vulnerabilidades de VM Manager.

Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.

Tabla 19. Informes de vulnerabilidad de VM Manager
Detector Resumen Configuración de análisis de elementos Estándares de cumplimiento
OS_VULNERABILITY

Resultado de la descripción: VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado de una VM de Compute Engine.

Nivel de precios: Premium

Elementos admitidos
compute.googleapis.com/Instance

Corregir este hallazgo

Los informes de vulnerabilidad de VM Manager detallan vulnerabilidades en los paquetes del sistema operativo instalados para las VM de Compute Engine, incluidos Vulnerabilidades y exposiciones comunes (CVE).

  • Elementos excluidos de los análisis: SUSE Linux Enterprise Server (SLES), sistemas operativos Windows
  • Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera:

    • Para la mayoría de las vulnerabilidades en el paquete de sistema operativo instalado, la API de configuración del SO genera un informe de vulnerabilidades en pocos minutos.
    • En el caso de las CVE, la API de configuración del SO genera el informe de vulnerabilidad en un plazo de tres a cuatro horas después de que se publica la CVE en el SO.

Amenazas

Los detectores de amenazas pueden ayudarte a encontrar eventos potencialmente dañinos.

Detección de anomalías

La detección de anomalías es un servicio integrado que usa señales de comportamiento desde fuera del sistema. Muestra información detallada sobre las anomalías de seguridad detectadas para tus instancias de máquina virtual (VM), como potenciales filtraciones de credenciales y minería de criptomonedas. La detección de anomalías se habilita de forma automática cuando te suscribes al nivel Premium o Estándar de Security Command Center, y los resultados están disponibles en el panel de Security Command Center.

Estos son algunos ejemplos de resultados de la detección de anomalías:

Tabla B. Categorías de resultados de detección de anomalías
Potencial de compromiso Descripción
account_has_leaked_credentials Las credenciales para una cuenta de servicio de Google Cloud se filtran accidentalmente en línea o se ven comprometidas.
resource_compromised_alert Posible compromiso de un recurso en tu organización.
Situaciones de abuso Descripción
resource_involved_in_coin_mining Las señales de comportamiento en torno a una VM de tu organización indican que puede haber sido comprometida y podría estar en uso para la criptominería.
outgoing_intrusion_attempt Intentos de intrusión y análisis de puertos: uno de los recursos o servicios de Google Cloud de tu organización se usa para actividades de intrusión, como un intento de vulnerar o comprometer un sistema objetivo. Estos incluyen ataques de fuerza bruta de SSH, análisis de puertos y ataques de fuerza bruta de FTP.
resource_used_for_phishing Uno de los recursos o servicios de Google Cloud de tu organización se usa para la suplantación de identidad (phishing).

Detección de amenazas a contenedores

Container Threat Detection puede detectar los ataques más comunes en el entorno de ejecución del contenedor y alertarte en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, una herramienta de análisis y una API.

La instrumentación de Container Threat Detection recopila un nivel bajo en el kernel invitado y realiza procesamiento de lenguaje natural en las secuencias de comandos para detectar los siguientes eventos:

  • Se ejecutó el objeto binario agregado
  • Se cargó la biblioteca agregada
  • Secuencia de comandos maliciosa ejecutada
  • Shells inversas

Obtén más información sobre Detección de amenazas a contenedores.

Cloud Data Loss Prevention

El descubrimiento de datos de Cloud DLP te permite mostrar los resultados de los análisis de Cloud Data Loss Prevention (Cloud DLP) directamente en el panel de Security Command Center y en el inventario de resultados. Cloud DLP puede ayudarte a comprender y administrar mejor los datos sensibles y la información de identificación personal (PII), como las siguientes:

  • números de tarjetas de crédito
  • Nombres
  • Números de identificación personal
  • Números de identificación de EE.UU. e internacionales seleccionados
  • Números de teléfono
  • Las credenciales de Google Cloud

Cada descubrimiento de datos de Cloud DLP solo incluye el tipo de categoría de los datos de PII identificados y el recurso en el que se encontró. No incluye ninguno de los datos subyacentes específicos.

Una vez completados los pasos de configuración descritos en la guía para enviar resultados de la API de DLP a Security Command Center, los resultados del análisis de Cloud DLP se mostrarán en Security Command Center.

Para obtener más información, sigue estas sugerencias:

Event Threat Detection

Event Threat Detection usa datos de registro dentro de tus sistemas. Detecta la transmisión de Cloud Logging de tu organización para uno o más proyectos y consume registros a medida que están disponibles. Cuando se detecta una amenaza, Detección de eventos de amenazas escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Event Threat Detection se habilita de forma automática cuando te suscribes al nivel Premium de Security Command Center y los resultados están disponibles en el panel de Security Command Center.

Estos son algunos ejemplos de resultados de Event Threat Detection:

Tabla C. Tipos de resultados de Event Threat Detection
Robo de datos

Event Threat Detection detecta el robo de datos de BigQuery mediante el análisis de los registros de auditoría para dos situaciones:

  • Un recurso se guarda fuera de la organización o se intenta una operación de copia que está bloqueada por los Controles del servicio de VPC.
  • Se intenta acceder a los recursos de BigQuery que los Controles del servicio de VPC protegen.
Ataques de fuerza bruta a SSH Event Threat Detection detecta la fuerza bruta de SSH mediante la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de errores repetidos seguidos de un éxito.
Criptominería Event Threat Detection detecta el software malicioso de creación de criptomonedas mediante el análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos conocidos para grupos mineros.
Abuso de IAM

Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalos, como los siguientes:

  • Agregar un usuario gmail.com a una política con la función de editor de proyectos
  • Invitar a un usuario de gmail.com como propietario del proyecto de Google Cloud Console
  • Cuenta de servicio que otorga permisos sensibles
  • La función personalizada otorgó permisos sensibles
  • Se agregó la cuenta de servicio desde fuera de la organización.
Software Malicioso Event Threat Detection detecta software malicioso mediante la examinación de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con las IP y los dominios de control y comandos conocidos.
Suplantación de identidad Event Threat Detection detecta la suplantación de identidad (phishing) mediante la evaluación de los registros de flujo de VPC y de los registros de Cloud DNS para conexiones a IP y dominios de suplantación de identidad (phishing) conocidos.
DoS Salientes La Detección de eventos de amenazas examina los registros de flujo de VPC para detectar denegación saliente del tráfico de servicio.
Comportamiento de IAM anómalo La Detección de eventos de amenazas detecta comportamientos de IAM anómalos mediante el análisis de los registros de auditoría de Cloud para accesos de direcciones IP anómalas y usuarios-agentes anómalos.
Autoinvestigación de la cuenta de servicio Container Threat Detection detecta cuándo se usa una credencial de cuenta de servicio para investigar las funciones y los permisos asociados con esa misma cuenta de servicio.
El administrador de Compute Engine agregó la clave SSH
Vista previa
Event Threat Detection detecta una modificación en el valor de la llave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (más de 1 semana).
Administrador de Compute Engine agregó una secuencia de comandos de inicio
Vista previa
Event Threat Detection detecta una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (antes de 1 semana).
Hay actividad sospechosa en la cuenta Container Threat Detection detecta un posible compromiso de las cuentas de Google Workspace mediante el análisis de los registros de auditoría para actividades anómalas de la cuenta, incluidas las filtraciones de contraseñas y los intentos de acceso sospechosos.
Ataque respaldado por el Gobierno La Container Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo los atacantes respaldados por el Gobierno podrían haber intentado comprometer la cuenta o computadora de un miembro.
Cambios en el inicio de sesión único (SSO) Container Threat Detection examina los registros de auditoría de Google Workspace a fin de detectar cuándo el SSO está inhabilitado o se cambia la configuración de las cuentas de administrador de Google Workspace.
Verificación en dos pasos Container Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo la verificación en 2 pasos está inhabilitada en las cuentas de usuario y administrador.

Obtén más información sobre Event Threat Detection.

Seguridad de Foresti

Forseti Security te brinda herramientas para comprender todos los recursos que tienes en Google Cloud. Los módulos principales de Forseti funcionan en conjunto para proporcionar información completa de modo que puedas proteger los recursos y minimizar los riesgos de seguridad.

Para mostrar las notificaciones de incumplimiento de Forseti en Security Command Center, sigue la Guía de notificación de Security Command Center de Forseti.

Para obtener más información, sigue estas sugerencias:

Phishing Protection

La protección contra la suplantación de identidad (phishing) ayuda a evitar que los usuarios accedan a los sitios de suplantación de identidad (phishing). Con ese fin, clasifica el contenido malicioso que usa tu marca e informa las URL inseguras a la Navegación segura de Google. Después de que un sitio se propaga a Navegación segura, los usuarios verán advertencias en más de tres mil millones de dispositivos.

Para comenzar a usar la protección contra suplantación de identidad, sigue la guía Habilita la protección contra la suplantación de identidad (phishing). Una vez que habilites la protección contra suplantación de identidad, los resultados se mostrarán en Security Command Center en la tarjeta Protección contra suplantación de identidad (phishing), en Resultados.

¿Qué sigue?