Fontes de segurança contra vulnerabilidades e ameaças

Esta página contém uma lista das fontes de segurança do Google Cloud disponíveis no Security Command Center. Quando você ativa uma fonte de segurança, ela fornece vulnerabilidade e dados de ameaças no painel do Security Command Center.

O Security Command Center permite filtrar e visualizar vulnerabilidades e descobertas de ameaças de várias maneiras diferentes, como filtragem em um tipo de descoberta específico, tipo de recurso ou para um recurso específico. Cada origem de segurança pode fornecer mais filtros para ajudar você a organizar as descobertas da sua organização.

Os papéis do Security Command Center são concedidos no nível da organização, da pasta ou do projeto. A capacidade de visualizar, editar, criar ou atualizar descobertas, recursos, fontes de segurança e marcas de segurança depende do nível ao qual você recebe acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Vulnerabilidades

Os detectores de vulnerabilidades podem ajudar você a encontrar possíveis pontos fracos nos recursos do Google Cloud.

Tipos de vulnerabilidade do Security Health Analytics

A verificação de avaliação de vulnerabilidade gerenciada do Security Health Analytics do Google Cloud pode detectar automaticamente vulnerabilidades e erros de configuração comuns em:

  • Cloud Monitoring e Cloud Logging
  • Compute Engine
  • Contêineres e redes do Google Kubernetes Engine
  • Cloud Storage
  • Cloud SQL
  • Identity and Access Management (IAM)
  • Cloud Key Management Service (Cloud KMS)
  • Cloud DNS

O Security Health Analytics é ativado automaticamente quando você seleciona o nível Standard ou Premium do Security Command Center. Os detectores do Security Health Analytics monitoram um subconjunto de recursos do Inventário de recursos do Cloud (CAI, na sigla em inglês) usando os três modos de verificação a seguir para detectar vulnerabilidades:

  • Verificação em lote: todos os detectores estão programados para execução em todas as organizações inscritas duas ou mais vezes por dia. Os detectores são executados em diferentes programações para atender a objetivos específicos de nível de serviço (SLO). Para atender aos SLOs de 12 e 24 horas, os detectores executam verificações em lote a cada seis horas ou 12 horas, respectivamente. As alterações de recursos e políticas que ocorrem entre as verificações em lote não são capturadas imediatamente e são aplicadas na próxima verificação em lote. Observação: as programações de verificação em lote são objetivos de desempenho, não garantias de serviço.

  • Verificação em tempo real: os detectores compatíveis iniciam as verificações sempre que o CAI informa uma alteração na configuração de um recurso. As descobertas são gravadas no Security Command Center.

  • Modo misto: alguns detectores compatíveis com verificações em tempo real podem não detectar alterações em tempo real em todos os recursos compatíveis. Nesses casos, as alterações de configuração de alguns recursos são capturadas imediatamente, e outras em verificações em lote.

Para ver uma lista completa dos detectores e descobertas do Security Health Analytics, consulte a página Descobertas do Security Health Analytics ou expanda a seção a seguir.

Web Security Scanner

O Web Security Scanner fornece verificação de vulnerabilidade da Web gerenciada e personalizada para aplicativos da Web públicos do App Engine, GKE e do Compute Engine.

Verificações gerenciadas

As verificações gerenciadas do Web Security Scanner são configuradas e gerenciadas pelo Security Command Center. As verificações gerenciadas são executadas automaticamente uma vez por semana para detectar e verificar os endpoints da Web públicos. Essas verificações não usam autenticação e enviam solicitações somente GET para que não enviem formulários em sites ativos.

As verificações gerenciadas são executadas separadamente das verificações personalizadas definidas no nível do projeto. É possível usar verificações gerenciadas para gerenciar centralmente a detecção de vulnerabilidades de aplicativos da Web básicos para projetos na organização, sem precisar envolver equipes de projeto individuais. Quando as descobertas são descobertas, trabalhe com essas equipes para configurar verificações personalizadas mais abrangentes.

Quando você ativa o Web Security Scanner como um serviço, as descobertas da verificação gerenciada são disponibilizadas automaticamente na guia vulnerabilidades do Security Command Center e nos relatórios relacionados. Para ver informações sobre como ativar as verificações gerenciadas do Web Security Scanner, consulte Como configurar o Security Command Center.

Verificações personalizadas

As verificações personalizadas do Web Security Scanner fornecem informações detalhadas sobre descobertas de vulnerabilidades de aplicativos, como bibliotecas desatualizadas, scripts entre sites ou uso de conteúdo misto. As descobertas da verificação personalizada estão disponíveis no Security Command Center depois de concluir o guia para configurar verificações personalizadas do Web Security Scanner.

Detectores e compliance

O Web Security Scanner é compatível com um subconjunto de categorias no OWASP Top Ten, um documento que classifica e fornece orientações sobre correção dos 10 principais riscos de segurança de aplicativos da Web, conforme determinado pelo projeto de segurança de aplicativos Open Web (OWASP). Para orientações sobre como reduzir os riscos do OWASP, consulte As 10 principais opções de mitigação do OWASP no Google Cloud.

O mapeamento de conformidade está incluído para referência e não é fornecido ou revisado pela OWASP Foundation.

Essa funcionalidade destina-se apenas ao monitoramento de violações de controles de conformidade. Os mapeamentos não são fornecidos para uso como base ou como substitutos para a auditoria, certificação ou relatório de conformidade dos produtos ou serviços com comparativos de mercado ou padrões regulatórios ou do setor.

As verificações personalizadas e gerenciadas do Web Security Scanner identificam os seguintes tipos de descobertas. No nível Standard, o Web Security Scanner é compatível com verificações personalizadas de aplicativos implantados com URLs e IPs públicos que não estão atrás de um firewall.

Tabela 20. Descobertas do Web Security Scanner
Categoria Como encontrar a descrição 10 principais OWASP de 2017 10 principais OWASP de 2021
ACCESSIBLE_GIT_REPOSITORY Um repositório GIT é exposto publicamente. Para resolver esse problema, remova o acesso público não intencional ao repositório do GIT. A5 A01
ACCESSIBLE_SVN_REPOSITORY Um repositório SVN é exposto publicamente. Para resolver isso, remova o acesso não intencional público ao repositório SVN. A5 A01
CLEAR_TEXT_PASSWORD As senhas estão sendo transmitidas em texto não criptografado e podem ser interceptadas. Para resolver isso, criptografe a senha transmitida pela rede. A3 A02
INVALID_CONTENT_TYPE Um recurso foi carregado e ele não corresponde ao cabeçalho HTTP da resposta Content-Type. Para resolver isso, defina o cabeçalho HTTP "X-Content-Type-Options" com o valor correto. A6 A05
INVALID_HEADER Um cabeçalho de segurança tem um erro de sintaxe e é ignorado pelos navegadores. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6 A05
MISMATCHING_SECURITY_HEADER_VALUES Um cabeçalho de segurança tem valores duplicados e incompatíveis, o que resulta em comportamento indefinido. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6 A05
MISSPELLED_SECURITY_HEADER_NAME Um cabeçalho de segurança está incorreto e foi ignorado. Para resolver isso, defina os cabeçalhos de segurança HTTP corretamente. A6 A05
MIXED_CONTENT Os recursos são exibidos por HTTP em uma página HTTPS. Para resolver essa descoberta, verifique se todos os recursos são exibidos por HTTPS. A6 A05
OUTDATED_LIBRARY Foi detectada uma biblioteca com vulnerabilidades conhecidas. Para resolver essa descoberta, faça upgrade das bibliotecas para uma versão mais recente. A9 A06
SERVER_SIDE_REQUEST_FORGERY Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, na sigla em inglês) foi detectada. Para resolver essa descoberta, use uma lista de permissões para limitar os domínios e os endereços IP aos quais o aplicativo da Web pode fazer solicitações. Não relevante A10
XSS Um campo nesse aplicativo da Web é vulnerável a um ataque de scripting em vários locais (XSS). Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. A7 A03
XSS_ANGULAR_CALLBACK Uma string fornecida pelo usuário não tem escape e o AngularJS pode intercalá-la. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário e manipulados pelo framework Angular. A7 A03
XSS_ERROR Um campo neste aplicativo da Web é vulnerável a um ataque de scripting em vários locais. Para resolver isso, valide e escape dados não confiáveis fornecidos pelo usuário. A7 A03

VM Manager

O VM Manager é um conjunto de ferramentas que podem ser usadas para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VMs) que executam o Windows e o Linux no Compute Engine.

Se você ativar o VM Manager e tiver uma assinatura do Security Command Center Premium, o VM Manager gravará automaticamente as descobertas dos relatórios de vulnerabilidade, que estão em pré-lançamento no Security Command Center. Os relatórios identificam vulnerabilidades nos sistemas operacionais (SO) instalados em VMs, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

Os relatórios de vulnerabilidades não estão disponíveis para o Security Command Center Standard.

As descobertas simplificam o processo de uso do recurso Conformidade com o patch do VM Manager, que está em fase de pré-lançamento. O recurso permite realizar o gerenciamento de patches no nível da organização em todos os projetos. Atualmente, o VM Manager é compatível com o gerenciamento de patches no nível do projeto único.

Para corrigir as descobertas do VM Manager, consulte Como corrigir as descobertas do VM Manager.

Para impedir que os relatórios de vulnerabilidade sejam gravados no Security Command Center, consulte Como desativar relatórios de vulnerabilidades do VM Manager.

Todas as vulnerabilidades desse tipo estão relacionadas aos pacotes de sistema operacional instalados nas VMs do Compute Engine compatíveis.

Tabela 19. Relatórios de vulnerabilidades do VM Manager
Detector Resumo Configurações da verificação de recursos Padrões de compliance
OS_VULNERABILITY

Como encontrar a descrição: o VM Manager detectou uma vulnerabilidade no pacote do sistema operacional (SO) instalado de uma VM do Compute Engine.

Nível de preços: Premium

Recursos compatíveis
compute.googleapis.com/Instance

Corrigir essa descoberta

Os relatórios de vulnerabilidade do VM Manager detalham as vulnerabilidades em pacotes de sistema operacional instalados em VMs do Compute Engine, incluindo Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês).

  • Recursos excluídos das verificações: SUSE Linux Enterprise Server (SLES, na sigla em inglês), sistemas operacionais Windows
  • As descobertas são exibidas no Security Command Center pouco depois que as vulnerabilidades são detectadas. Os relatórios de vulnerabilidades no VM Manager são gerados da seguinte maneira:

    • Para a maioria das vulnerabilidades no pacote do sistema operacional instalado, a API OS Config gera um relatório de vulnerabilidade em alguns minutos após a alteração.
    • Para CVEs, a API OS Config gera o relatório de vulnerabilidades dentro de três a quatro horas após a publicação da CVE no SO.

Ameaças

Os detectores de ameaças ajudam você a encontrar eventos potencialmente nocivos.

Detecção de anomalias

A detecção de anomalias é um serviço integrado que usa sinais de comportamento fora do seu sistema. Ele exibe informações detalhadas sobre anomalias de segurança detectadas nos seus projetos e instâncias de máquina virtual (VM, na sigla em inglês), como instâncias com vazamento de credenciais e mineração de moedas. A detecção de anomalias é ativada automaticamente quando você se inscreve no nível Standard ou Premium do Security Command Center, e as descobertas estão disponíveis no painel do Security Command Center.

Exemplos de descobertas de detecção de anomalias incluem:

Tabela B. Categorias de descoberta da detecção de anomalias
Potencial para comprometer Descrição
account_has_leaked_credentials As credenciais de uma conta de serviço do Google Cloud são vazadas on-line ou comprometidas.
resource_compromised_alert Possível comprometimento de um recurso na sua organização.
Cenários de abuso Descrição
resource_involved_in_coin_mining Os sinais comportamentais em torno de uma VM na organização indicam que um recurso pode ter sido comprometido e estar sendo usado para criptomineração.
outgoing_intrusion_attempt Tentativas de invasão e verificações de porta: um dos recursos ou serviços do Google Cloud na sua organização está sendo usado para atividades de invasão, como uma tentativa de invasão ou comprometimento de um sistema de destino. Isso inclui ataques de força bruta SSH, verificações de porta e ataques de força bruta do FTP.
resource_used_for_phishing Um dos recursos ou serviços do Google Cloud na sua organização está sendo usado para phishing.

Container Threat Detection

O Container Threat Detection pode detectar os ataques mais comuns do ambiente de execução de contêiner e alertar você no Security Command Center e, opcionalmente, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, uma ferramenta de análise e uma API.

A instrumentação de detecção do Container Threat Detection coleta comportamentos de baixo nível no kernel convidado e executa o processamento de linguagem natural em scripts para detectar os seguintes eventos:

  • Adição de binário executado
  • Adição de biblioteca carregada
  • Script malicioso executado
  • Shell reverso

Saiba mais sobre o Container Threat Detection.

Cloud Data Loss Prevention

Com a descoberta de dados do Cloud DLP, é possível exibir os resultados das verificações do Cloud Data Loss Prevention (Cloud DLP) diretamente no painel do Security Command Center e no inventário de descobertas. O Cloud DLP ajuda você a entender e gerenciar melhor dados confidenciais e informações de identificação pessoal (PII, na sigla em inglês), como os seguintes:

  • Números de cartões de crédito
  • Nomes
  • Números da previdência social
  • EUA e números de identificação internacionais selecionados
  • Números de telefone
  • Credenciais do Google Cloud

Cada descoberta de dados do Cloud DLP inclui apenas o tipo de categoria dos dados de PII identificados e o recurso em que foi encontrado. Isso não inclui nenhum dos dados subjacentes específicos.

Depois de concluir as etapas de configuração descritas no guia para enviar os resultados da API DLP para o Security Command Center, os resultados da verificação do Cloud DLP serão exibidos no Security Command Center.

Para mais informações:

Detecção de ameaças ao evento

O Event Threat Detection usa dados de registro dentro dos seus sistemas. Ela observa o stream do Cloud Logging da sua organização para um ou mais projetos e consome registros à medida que eles são disponibilizados. Quando uma ameaça é detectada, o Event Threat Detection grava uma descoberta no Security Command Center e em um projeto do Cloud Logging. o Event Threat Detection é ativado automaticamente quando você se inscreve no nível Premium do Security Command Center e as descobertas estão disponíveis no painel do Security Command Center.

Estes são alguns exemplos de descobertas do Event Threat Detection:

Tabela C. Tipos de descoberta do
Exfiltração de dados

O Event Threat Detection detecta a exfiltração de dados no BigQuery e do Cloud SQL examinando os registros de auditoria nestes cenários:

  • Um recurso BigQuery é salvo fora da organização ou uma operação de cópia é bloqueada por meio do VPC Service Controls.
  • Foi feita uma tentativa de acessar os recursos do BigQuery protegidos pelo VPC Service Controls.
  • Um recurso do Cloud SQL é total ou parcialmente exportado para um bucket do Cloud Storage fora da organização ou para um bucket de propriedade da sua organização que pode ser acessado publicamente.
Ataques de força bruta contra SSH O Event Threat Detection detecta força bruta do SSH de autenticação de senha por meio da análise de registros syslog para falhas repetidas seguidas por um sucesso.
Criptomineração O Event Threat Detection detecta malware de extração de moeda examinando registros de fluxo de VPC e registros do Cloud DNS para conexões com domínios inválidos conhecidos para pools de extração.
Abuso do IAM

Concessões do IAM anômalas: o Event Threat Detection detecta a adição de concessões de IAM que podem ser consideradas anômalas, como:

  • Como adicionar um usuário do gmail.com a uma política com o papel de editor do projeto.
  • Pedir um usuário do gmail.com como o proprietário do projeto no Console do Google Cloud.
  • Conta de serviço que concede permissões confidenciais.
  • O papel personalizado concedeu permissões confidenciais.
  • Conta de serviço adicionada de fora da organização.
malware; O Event Threat Detection detecta malware examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com comandos conhecidos e controles de controle e IPs.
Phishing O Event Threat Detection detecta phishing examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com domínios e IPs de phishing conhecidos.
DoS de saída O Event Threat Detection examina os registros de fluxo da VPC para detectar negação de saída do tráfego de serviço.
Comportamento anômalo do IAM O Event Threat Detection detecta o comportamento anômalo do IAM examinando os registros de auditoria do Cloud para acessos de endereços IP anômalos e agentes de usuário anômalos.
Investigação da conta de serviço O Event Threat Detection detecta quando uma credencial da conta de serviço é usada para investigar os papéis e as permissões associados a ela.
Chave SSH adicionada pelo administrador do Compute Engine
Pré-lançamento
O Event Threat Detection detecta uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Script de inicialização adicionado pelo administrador do Compute Engine
Pré-lançamento
O Event Threat Detection detecta uma modificação no valor do script de inicialização dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Atividade suspeita da conta O Event Threat Detection detecta possíveis comprometimentos nas contas do Google Workspace examinando os registros de auditoria de atividades anômalas de contas, incluindo senhas vazadas e tentativas de login suspeito.
Ataque apoiado pelo governo O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando invasores apoiados pelo governo podem ter tentado comprometer a conta ou o computador de um usuário.
Mudanças no Logon único (SSO) O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando o SSO está desativado ou as configurações são alteradas para as contas de administrador do Google Workspace.
Verificação em duas etapas O Event Threat Detection examina os registros de auditoria do Google Workspace para detectar quando a verificação em duas etapas está desativada em contas de usuário e administrador.

Saiba mais sobre o Event Threat Detection.

Segurança Forseti

O Forseti Security oferece ferramentas para você entender todos os recursos disponíveis no Google Cloud. Os principais módulos Forseti trabalham em conjunto para fornecer informações completas para que você possa proteger recursos e minimizar riscos de segurança.

Para exibir notificações de violação do Forseti no Security Command Center, siga o Guia de notificação do Security Command Center.

Para mais informações:

Proteção contra phishing

A Proteção contra phishing ajuda a impedir que os usuários acessem sites de phishing por meio da classificação de conteúdo mal-intencionado que usa sua marca e informa os URLs não seguros para a Navegação segura do Google. Depois que um site é propagado para o Navegação segura, os usuários verão avisos em mais de três bilhões de dispositivos.

Para começar a usar o Phishing Protection, siga o guia Ativar a proteção contra phishing. Depois que você ativar a proteção contra phishing, os resultados serão exibidos no Security Command Center no cartão Proteção contra phishing em Descobertas.

A seguir