Fontes de segurança contra vulnerabilidades e ameaças

>

Uma lista das fontes de segurança do Google Cloud disponíveis no Security Command Center. Quando você ativa uma fonte de segurança, ela fornece vulnerabilidade e dados de ameaças no painel do Security Command Center.

O Security Command Center permite filtrar e visualizar descobertas de vulnerabilidade e ameaças de várias maneiras diferentes, como filtrando em um tipo de descoberta específico, tipo de recurso ou para um recurso específico. Cada origem de segurança pode fornecer mais filtros para ajudar você a organizar as descobertas da sua organização.

Para mais informações, consulte como usar o painel do Security Command Center.

Vulnerabilidades

Os detectores de vulnerabilidades podem ajudar você a encontrar possíveis pontos fracos.

Tipos de vulnerabilidade do Security Health Analytics

A verificação de avaliação de vulnerabilidade gerenciada do Security Health Analytics do Google Cloud pode detectar automaticamente vulnerabilidades e erros de configuração comuns em:

  • Cloud Monitoring e Cloud Logging
  • Compute Engine
  • Contêineres e redes do Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Identity and Access Management (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

O Security Health Analytics é ativado automaticamente quando você seleciona o nível Standard ou Premium do Security Command Center. Quando o Security Health Analytics está ativado, as verificações são executadas automaticamente duas vezes por dia, com 12 horas de diferença.

O Security Health Analytics procura muitos tipos de vulnerabilidade. É possível agrupar descobertas por tipo de detector. Use os nomes de detectores do Security Health Analytics para filtrar descobertas pelo tipo de recurso destinado à descoberta.

Para ver uma lista completa dos detectores e descobertas do Security Health Analytics, consulte a página Descobertas do Security Health Analytics ou expanda a seção a seguir.

Web Security Scanner

O Web Security Scanner fornece verificação de vulnerabilidade da Web gerenciada e personalizada para aplicativos da Web públicos do App Engine, GKE e do Compute Engine.

Verificações gerenciadas

As verificações gerenciadas do Web Security Scanner são configuradas e gerenciadas pelo Security Command Center. As verificações gerenciadas são executadas automaticamente uma vez por semana para detectar e verificar os endpoints da Web públicos. Essas verificações não usam autenticação e enviam solicitações somente GET para que não enviem formulários em sites ativos.

As verificações gerenciadas são executadas separadamente das verificações personalizadas definidas no nível do projeto. É possível usar verificações gerenciadas para gerenciar centralmente a detecção de vulnerabilidades de aplicativos da Web básicos para projetos na organização, sem precisar envolver equipes de projeto individuais. Quando as descobertas são descobertas, trabalhe com essas equipes para configurar verificações personalizadas mais abrangentes.

Quando você ativa o Web Security Scanner como um serviço, as descobertas da verificação gerenciada são disponibilizadas automaticamente na guia vulnerabilidades do Security Command Center e nos relatórios relacionados. Para ver informações sobre como ativar as verificações gerenciadas do Web Security Scanner, consulte Como configurar o Security Command Center.

Verificações personalizadas

As verificações personalizadas do Web Security Scanner fornecem informações detalhadas sobre descobertas de vulnerabilidades de aplicativos, como bibliotecas desatualizadas, scripts entre sites ou uso de conteúdo misto. As descobertas da verificação personalizada estão disponíveis no Security Command Center depois de concluir o guia para configurar verificações personalizadas do Web Security Scanner.

Essas tabelas incluem uma descrição do mapeamento entre os detectores compatíveis e o melhor mapeamento de esforço para os esquemas de conformidade relevantes.

Os mapeamentos do CIS Google Cloud Foundation 1.0 foram revisados e certificados pelo centro para segurança de internet para o comparativo de mercado do CIS Google Computing Foundations v1.0.0. Os mapeamentos de conformidade adicionais estão incluídos para referência e não são fornecidos ou revisados pelo Padrão de segurança de dados da indústria de cartões de pagamento ou pela OWASP Foundation. Consulte o Comparativo de mercado do CIS Google Cloud Foundations v1.0.0 (CIS Google Cloud Foundation 1.0), Padrão de segurança de dados da indústria de cartões de pagamento 3.2 (PCI-DSS v3.2), OWASP Top, Instituto Nacional de Padrões e Tecnologia 800-53 (NIST 800-53) e Organização Internacional de Padronização 27001 (ISO 27001) para saber como verificar essas violações manualmente.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos seus produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

Veja a seguir os tipos que são identificados pelos leitores personalizados e gerenciados do Web Security Scanner. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

Tabela 18.Descobertas do Web Security Scanner
Categoria Como encontrar a descrição CIS GCP Foundation 1.0 PCI-DSS v3.2.1 10 principais OWASP NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. A3
ACCESSIBLE_SVN_REPOSITORY Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN. A3
CLEAR_TEXT_PASSWORD As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. A3
INVALID_CONTENT_TYPE Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver isso, defina o cabeçalho HTTP "X-Content-Type-Options" com o valor correto. A6
INVALID_HEADER Um cabeçalho de segurança tem um erro de sintaxe e será ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6
MISMATCHING_SECURITY_HEADER_VALUES Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6
MISSPELLED_SECURITY_HEADER_NAME Um cabeçalho de segurança é escrito incorretamente e é ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6
MIXED_CONTENT Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver isso, todos os recursos precisam ser exibidos por HTTPS. A6
OUTDATED_LIBRARY Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver isso, faça o upgrade das bibliotecas para uma versão mais recente. A9
XSS Um campo nesse aplicativo da Web é vulnerável a um ataque de script entre sites (XSS). Para resolver isso, valide e escapar os dados não confiáveis fornecidos pelo usuário. A7
XSS_ANGULAR_CALLBACK Uma string fornecida pelo usuário não tem escape e pode ser interpolada pelo AngularJS. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário manipulados pela estrutura Angular. A7
XSS_ERROR Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e evite escape dados não confiáveis fornecidos pelo usuário. A7

Ameaças

Os detectores de ameaças ajudam você a encontrar eventos potencialmente nocivos.

Detecção de anomalias

A detecção de anomalias é um serviço integrado que usa sinais de comportamento fora do seu sistema. Ele exibe informações detalhadas sobre anomalias de segurança detectadas nos seus projetos e instâncias de máquina virtual (VM, na sigla em inglês), como instâncias com vazamento de credenciais e mineração de moedas. A detecção de anomalias é ativada automaticamente quando você se inscreve no nível Standard ou Premium do Security Command Center, e as descobertas estão disponíveis no painel do Security Command Center.

Exemplos de descobertas de detecção de anomalias incluem:

Tabela B. Categorias de descoberta da detecção de anomalias
Potencial para comprometer Descrição
account_has_leaked_credentials As credenciais de uma conta de serviço do Google Cloud são vazadas on-line ou comprometidas.
resource_compromised_alert Possível comprometimento de um recurso na sua organização.
Cenários de abuso Descrição
resource_involved_in_coin_mining Os sinais comportamentais em torno de uma VM na organização indicam que um recurso pode ter sido comprometido e estar sendo usado para criptomineração.
outgoing_intrusion_attempt Tentativas de invasão e verificações de porta: um dos recursos ou serviços do Google Cloud na sua organização está sendo usado para atividades de invasão, como uma tentativa de invasão ou comprometimento de um sistema de destino. Isso inclui ataques de força bruta SSH, verificações de porta e ataques de força bruta do FTP.
resource_used_for_phishing Um dos recursos ou serviços do Google Cloud na sua organização está sendo usado para phishing.

Container Threat Detection

O Container Threat Detection pode detectar os ataques mais comuns do ambiente de execução de contêiner e alertar você no Security Command Center e, opcionalmente, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, uma ferramenta de análise e uma API.

A detecção do Container Threat Detection coleta comportamentos de baixo nível no kernel convidado para detectar os seguintes eventos:

  • Adição de binário executado
  • Adição de biblioteca carregada
  • Shell reverso

Saiba mais sobre o Container Threat Detection.

Cloud Data Loss Prevention

Com a descoberta de dados do Cloud DLP, é possível exibir os resultados das verificações do Cloud Data Loss Prevention (Cloud DLP) diretamente no painel do Security Command Center e no inventário de descobertas. O Cloud DLP ajuda você a entender e gerenciar melhor dados confidenciais e informações de identificação pessoal (PII, na sigla em inglês), como os seguintes:

  • Números de cartões de crédito
  • Nomes
  • Números da previdência social
  • EUA e números de identificação internacionais selecionados
  • Números de telefone
  • Credenciais do Google Cloud

Cada descoberta de dados do Cloud DLP inclui apenas o tipo de categoria dos dados de PII identificados e o recurso em que foi encontrado. Isso não inclui nenhum dos dados subjacentes específicos.

Depois de concluir as etapas de configuração descritas no guia para enviar os resultados da API DLP para o Security Command Center, os resultados da verificação do Cloud DLP serão exibidos no Security Command Center.

Para mais informações:

Detecção de ameaças ao evento

O Event Threat Detection usa dados de registro dentro dos seus sistemas. Ela observa o stream do Cloud Logging da sua organização para um ou mais projetos e consome registros à medida que eles são disponibilizados. Quando uma ameaça é detectada, o Event Threat Detection grava uma descoberta no Security Command Center e em um projeto do Cloud Logging. o Event Threat Detection é ativado automaticamente quando você se inscreve no nível Premium do Security Command Center e as descobertas estão disponíveis no painel do Security Command Center.

Estes são alguns exemplos de descobertas do Event Threat Detection:

Tabela C. Tipos de descoberta do
Exportação de dados

O Event Threat Detection detecta exfiltração de dados do BigQuery examinando os registros de auditoria de dois cenários:

  • Um recurso é salvo fora da organização ou uma operação de cópia é bloqueada por meio do VPC Service Controls.
  • Foi feita uma tentativa de acessar os recursos do BigQuery protegidos pelo VPC Service Controls.
SSH por força bruta O Event Threat Detection detecta força bruta do SSH de autenticação de senha por meio da análise de registros syslog para falhas repetidas seguidas por um sucesso.
Criptomineração O Event Threat Detection detecta malware de extração de moeda examinando registros de fluxo de VPC e registros do Cloud DNS para conexões com domínios inválidos conhecidos para pools de extração.
Abuso do IAM

Concessões do IAM anômalas: o Event Threat Detection detecta a adição de concessões de IAM que podem ser consideradas anômalas, como:

  • Como adicionar um usuário do gmail.com a uma política com o papel de editor do projeto.
  • Pedir um usuário do gmail.com como o proprietário do projeto no Console do Google Cloud.
  • Conta de serviço que concede permissões confidenciais.
  • O papel personalizado concedeu permissões confidenciais.
  • Conta de serviço adicionada de fora da organização.
malware; O Event Threat Detection detecta malware examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com comandos conhecidos e controles de controle e IPs.
Phishing O Event Threat Detection detecta phishing examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com domínios e IPs de phishing conhecidos.
DoS de saída O Event Threat Detection examina os registros de fluxo da VPC para detectar negação de saída do tráfego de serviço.

Saiba mais sobre o Event Threat Detection.

Segurança Forseti

O Forseti Security oferece ferramentas para você entender todos os recursos disponíveis no Google Cloud. Os principais módulos Forseti trabalham em conjunto para fornecer informações completas para que você possa proteger recursos e minimizar riscos de segurança.

Para exibir notificações de violação do Forseti no Security Command Center, siga o Guia de notificação do Security Command Center.

Para mais informações:

Proteção contra phishing

A Proteção contra phishing ajuda a impedir que os usuários acessem sites de phishing por meio da classificação de conteúdo mal-intencionado que usa sua marca e informa os URLs não seguros para a Navegação segura do Google. Depois que um site é propagado para o Navegação segura, os usuários verão avisos em mais de três bilhões de dispositivos.

Para começar a usar o Phishing Protection, siga o guia Ativar a proteção contra phishing. Depois que você ativar a proteção contra phishing, os resultados serão exibidos no Security Command Center no cartão Proteção contra phishing em Descobertas.

A seguir