Fuentes de seguridad para vulnerabilidades y amenazas

Una lista de las fuentes de seguridad de Google Cloud que están disponibles en Security Command Center. Cuando habilitas una fuente de seguridad, proporciona datos de vulnerabilidad y resistencia en el panel de Security Command Center.

Security Command Center te permite filtrar y ver resultados de vulnerabilidades y amenazas de muchas maneras diferentes, como el filtrado en un tipo de resultado específico, un tipo de recurso o un elemento específico. Cada fuente de seguridad podría proporcionar más filtros para ayudarte a organizar los hallazgos de tu organización.

Para obtener más información, consulta cómo usar el panel de Security Command Center.

Vulnerabilidades

Los detectores de vulnerabilidades pueden ayudarte a detectar debilidades potenciales.

Tipos de vulnerabilidades de estadísticas de estado de seguridad

El análisis de evaluaciones de vulnerabilidades administrado por estadísticas del estado de la seguridad para Google Cloud puede detectar automáticamente vulnerabilidades y configuraciones incorrectas, en los siguientes productos:

  • Cloud Monitoring y Cloud Logging
  • Compute Engine
  • Contenedores y redes de Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Administración de identidades y accesos (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

Security Health Analytics se habilita de forma automática cuando seleccionas el nivel Estándar o Premium de Security Command Center. Cuando las estadísticas del estado de seguridad están habilitadas, los análisis se ejecutan automáticamente dos veces al día, con 12 horas de diferencia.

Security Health Analytics analiza muchos tipos de vulnerabilidades. Puedes agrupar los resultados por tipo de detector. Usa los nombres de los detectores de estadísticas de estado de seguridad a fin de filtrar los resultados según el tipo de recurso para el que se realizan los resultados.

Para ver una lista completa de los detectores y resultados de estadísticas de estado de seguridad, consulta la página Resultados de las estadísticas del estado de seguridad o expande la siguiente sección.

Web Security Scanner

Web Security Scanner proporciona análisis de vulnerabilidades web administradas y personalizadas para aplicaciones web públicas de App Engine, GKE y Compute Engine.

Análisis administrados

Cloud Security Command Center configura y administra los análisis administrados de Web Security Scanner. Los análisis administrados se ejecutan automáticamente una vez por semana para detectar y analizar extremos web públicos. Estos análisis no usan la autenticación y envían solicitudes solo de GET para que no envíen formularios en sitios web activos.

Los análisis administrados se ejecutan de forma separada de los análisis personalizados que defines a nivel de proyecto. Puedes usar análisis administrados para administrar de forma centralizada la detección de vulnerabilidades de aplicaciones web básicas de los proyectos de tu organización, sin necesidad de incluir equipos de proyectos individuales. Cuando se descubren resultados, puedes trabajar con esos equipos para configurar análisis personalizados más completos.

Cuando habilitas el Web Security Scanner como un servicio, los resultados de análisis administrados quedan disponibles automáticamente en la pestaña de vulnerabilidades de Security Command Center y en los informes relacionados. Para obtener información sobre cómo habilitar los análisis administrados de Web Security Scanner, consulta cómo configurar el Security Command Center.

Análisis personalizados

Los análisis personalizados de Web Security Scanner proporcionan información detallada sobre los hallazgos de vulnerabilidades de la aplicación, como las bibliotecas desactualizadas, las secuencias de comandos entre sitios o el uso de contenido mixto. Los resultados de análisis personalizados están disponibles en Security Command Center después de completar la guía para configurar análisis personalizados de Web Security Scanner.

En estas tablas, se incluye una descripción de la asignación entre los detectores admitidos y la mejor asignación a los regímenes de cumplimiento relevantes.

Las asignaciones del CIS para la Google Cloud Foundation 1.0 han sido certificadas y certificadas por el Centro para la Seguridad de Internet a fin de alinearlas con las comparativas de CIS para Google Cloud Computing Foundations v1.0.0. Las asignaciones de cumplimiento adicionales se incluyen como referencia y no se proporcionan ni revisan mediante el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago o OWASP Foundation. Debes consultar las comparativas de CIS para Google Cloud Computing Foundation v1.0.0 (CIS para Google Cloud Foundation 1.0), el Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago 3.2.1 (PCI-DSS v3.2.1), los 10 mejores de OWASP, Instituto Nacional de Estándares y Tecnología 800-53 ( NIST 800-53) y Organización Internacional para Normalización 27001 (ISO 27001) a fin de verificar estos incumplimientos de forma manual.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de tus productos o servicios con cualquier comparativa o estándar regulacional o industrial.

A continuación, se muestran los tipos de resultados que identifican los análisis personalizados y administrados de Web Security Scanner.

Tabla 18.Resultados de Web Security Scanner
Category Descripción de los resultados CIS para GCP Foundation 1.0 PCI DSS v3.2.1 Los 10 mejores de OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Un repositorio de GIT se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. A3
ACCESSIBLE_SVN_REPOSITORY Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. A3
CLEAR_TEXT_PASSWORD Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red. A3
INVALID_CONTENT_TYPE Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta Para resolver esto, configura el encabezado HTTP "X-Content-Type-Options" con el valor correcto. A6
INVALID_HEADER Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignorarán. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MISMATCHING_SECURITY_HEADER_VALUES Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MISSPELLED_SECURITY_HEADER_NAME Un encabezado de seguridad está mal escrito y se ignorará. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. A6
MIXED_CONTENT Los recursos se envían a través de HTTP en una página HTTPS. Para solucionar este problema, asegúrate de que todos los recursos se entreguen a través de HTTPS. A6
OUTDATED_LIBRARY Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. A9
XSS Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y escapa los datos no confiables del usuario. A7
XSS_ANGULAR_CALLBACK Las strings proporcionadas por el usuario no tienen escape y se pueden interpolar con AngularJS. Para solucionar este problema, valida y escapa los datos no confiables proporcionados por el usuario controlados por el marco de trabajo de Angular. A7
XSS_ERROR Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y escapa los datos no confiables del usuario. A7

Amenazas

Los detectores de amenazas pueden ayudarte a encontrar eventos potencialmente dañinos.

Detección de anomalías

La detección de anomalías es un servicio integrado que usa señales de comportamiento fuera del sistema. Muestra información detallada sobre las anomalías de seguridad detectadas para tus instancias de VM y máquinas virtuales (VM), como posibles credenciales filtradas y minería de moneda. La detección de anomalías se habilita de forma automática cuando te suscribes al nivel Security o Standard Command Center y los hallazgos están disponibles en el panel de Security Command Center.

Estos son algunos ejemplos de resultados de la detección de anomalías:

Tabla B. Tipos de resultados de detección de anomalías
Potencial de compromiso Descripción
Credenciales de cuenta de servicio filtradas Credenciales de la cuenta de servicio de Google Cloud que se filtran accidentalmente o en línea o están comprometidas.
Posible máquina vulnerado Posible compromiso de un recurso en tu organización
Situaciones de abuso Descripción
Recurso utilizado para criptominería Las señales de comportamiento en torno a una VM de tu organización indican que puede haber sido comprometida y podría estar en uso para la criptominería.
Recurso utilizado para intrusión saliente Intentos de intrusión y análisis de puertos: Uno de los recursos o servicios de Google Cloud de tu organización se usa para actividades de intrusión, como un intento de vulnerar o vulnerar un sistema objetivo. Estos incluyen ataques de fuerza bruta de SSH, análisis de puertos y ataques de fuerza bruta de FTP.
Recurso utilizado para la suplantación de identidad (phishing) Uno de los recursos o servicios de Google Cloud de tu organización se usa para la suplantación de identidad (phishing).

Detección de amenazas a contenedores

La detección de amenazas a los contenedores puede detectar los ataques de entorno de ejecución de contenedores más comunes y enviarte una alerta en Security Command Center y, de manera opcional, en Cloud Logging. La detección de amenazas a los contenedores incluye varias funciones de detección, una herramienta de análisis y una API.

La instrumentación de detección de amenazas a contenedores recopila un nivel bajo en el kernel invitado para detectar los siguientes eventos:

  • Se ejecutó el objeto binario añadido
  • Se cargó la biblioteca agregada
  • Shells inversas

Obtén más información sobre Detección de amenazas a contenedores.

Cloud Data Loss Prevention

Cloud DLP Data Discovery te permite mostrar los resultados de los análisis de Cloud Data Loss Prevention (Cloud DLP) directamente en el panel de Security Command Center y en el inventario de hallazgos. Cloud DLP puede ayudarte a comprender y administrar mejor los datos sensibles y la información de identificación personal (PII), como las siguientes:

  • números de tarjetas de crédito
  • Nombres
  • Números de identificación personal
  • Números de identificación de EE.UU. e internacionales seleccionados
  • Números de teléfono
  • Las credenciales de Google Cloud

Cada descubrimiento de datos de Cloud DLP solo incluye el tipo de categoría de los datos de PII identificados y el recurso en el que se encontró. No incluye ninguno de los datos subyacentes específicos.

Una vez completados los pasos de configuración descritos en la guía para enviar resultados de la API de DLP a Security Command Center, los resultados del análisis de Cloud DLP se muestran en Security Command Center.

Para obtener más información, sigue estas sugerencias:

Event Threat Detection

La Detección de eventos de amenazas usa datos de registro dentro de tus sistemas. Detecta la transmisión de Cloud Logging de tu organización para uno o más proyectos y consume registros a medida que están disponibles. Cuando se detecta una amenaza, Event Threat Detection escribe un resultado en el Centro de comandos de seguridad y en un proyecto de Cloud Logging. La Detección de eventos de amenazas se habilita de forma automática cuando te suscribes al nivel Premium de Security Command Center y los resultados están disponibles en el panel de Security Command Center.

Estos son algunos ejemplos de resultados de Event Threat Detection:

Tabla C. Tipos de resultados de Event Threat Detection
Monitoring y Logging Descripción
Ataques de fuerza bruta a SSH Event Threat Detection detecta la fuerza bruta de SSH mediante la evaluación de registros SSH para las fallas repetidas seguidas de éxito.
Criptominería Event Threat Detection detecta software malicioso de minería de criptomonedas a través de un análisis de los registros de VPC para establecer conexiones con dominios maliciosos conocidos para grupos de minería y otros datos de registros.
Abuso de IAM

Otorgamientos maliciosos: Event Threat Detection detecta la adición de cuentas desde fuera del dominio de tu organización que tienen el permiso de Propietario o Editor en el nivel de organización o proyecto. El resultado de los subsidios maliciosos te ayuda a identificar lo siguiente:

  • Las cuentas que tienen permisos
  • El recurso al que se aplica el permiso
  • El usuario de tu organización que otorgó los permisos
Software Malicioso Event Threat Detection detecta software malicioso mediante la examinación de los registros de VPC para obtener conexiones a dominios erróneos conocidos y otros datos de registro.
Suplantación de identidad Event Threat Detection detecta la suplantación de identidad (phishing) mediante el análisis de registros de VPC para conexiones y otros datos de registro.

Obtén más información sobre Event Threat Detection.

Seguridad de Foresti

Forseti Security te brinda herramientas para comprender todos los recursos que tienes en Google Cloud. Los módulos principales de Forseti funcionan en conjunto para proporcionar información completa de modo que pueda proteger los recursos y minimizar los riesgos de seguridad.

Para mostrar las notificaciones de incumplimiento de Forseti en Security Command Center, sigue la Guía de notificación de Security Command Center de Forseti.

Para obtener más información, sigue estas sugerencias:

Phishing Protection

La protección contra la suplantación de identidad (phishing) ayuda a evitar que los usuarios accedan a los sitios de suplantación de identidad, ya que clasifica el contenido malicioso que usa la marca y notifica las URL inseguras a la Navegación segura de Google. Después de que un sitio se propaga a Navegación segura, los usuarios verán advertencias en más de 3,000 millones de dispositivos.

Para comenzar a usar la protección contra suplantación de identidad, sigue la guía sobre cómo habilitar la protección contra la suplantación de identidad (phishing). Una vez que habilites la protección contra suplantación de identidad, los resultados se mostrarán en Security Command Center en la tarjeta Protección contra suplantación de identidad (phishing), en Resultados.

¿Qué sigue?