Utilizzo di Web Security Scanner

Questa pagina mostra come utilizzare le funzionalità di scansione gestita di Web Security Scanner e esaminare i risultati nella console Google Cloud. Esempi di Vengono mostrati anche i risultati di Web Security Scanner.

Web Security Scanner è un servizio integrato per il livello Premium di Security Command Center che identifica le vulnerabilità di sicurezza comuni nelle applicazioni web di App Engine, Google Kubernetes Engine (GKE) e Compute Engine. Per visualizzare i risultati di Web Security Scanner, lo strumento deve essere abilitato nelle impostazioni di Servizi di Security Command Center.

Scopri di più su come funziona Web Security Scanner.

Esame dei risultati

La funzionalità di scansione gestita di Web Security Scanner configura e pianifica automaticamente le scansioni per ciascuno dei progetti inclusi nell'ambito. Le scansioni di Web Security Scanner possono richiedere fino a 24 ore per iniziare dopo l'attivazione del servizio e vengono eseguite settimanalmente dopo la prima scansione. I risultati vengono visualizzati in Security Command Center.

Esamina i risultati nella console

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, a livello di cartella o di progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.

Per esaminare i risultati di Web Security Scanner in Security Command Center, segui questi passaggi:

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai ai risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Web Security Scanner. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.

Console operativa di sicurezza

  1. Nella console Security Operations, vai alla pagina Risultati.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico per il cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
  3. Seleziona Web Security Scanner. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati da questa fonte.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su quanto è stato rilevato, sulla risorsa interessata e, se disponibili, sui passaggi che puoi svolgere per correggere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Visualizzare tutti i risultati associati a un URL specifico

Una scansione può produrre risultati da diversi URL di base. Per visualizzare tutti i risultati associati a un determinato URL in una scansione, procedi nel seguente modo:

  1. Apri il rilevamento e visualizza la relativa definizione JSON.
  2. Copia l'URL accanto a externalUri.
  3. Chiudi il riquadro dei dettagli del risultato.
  4. In Editor di query, inserisci la seguente query:

    externalUri:"AFFECTED_URI"
    

    Sostituisci AFFECTED_URI con l'URL copiato in precedenza.

Security Command Center visualizza tutti i risultati associati all'URL.

Esempi di risultati

Ecco alcuni esempi di risultati delle scansioni gestite di Web Security Scanner:

Tabella A. Tipi di ricerca gestita di Web Security Scanner
Vulnerabilità Descrizione
Contenuto misto Una pagina pubblicata tramite HTTPS pubblica anche le risorse su HTTP. Un malintenzionato man-in-the-middle potrebbe manomettere la risorsa HTTP e ottenere l'accesso completo al sito web che carica la risorsa o monitorare le azioni degli utenti.
Password in chiaro Un'applicazione restituisce contenuti sensibili con un tipo di contenuti non valido. senza intestazione X-Content-Type-Options: nosniff.
Libreria obsoleta

È noto che la versione di una libreria inclusa contiene un token problema. Lo scanner controlla la versione della libreria in uso rispetto a un elenco noto di librerie vulnerabili. Sono possibili falsi positivi se il rilevamento della versione non riesce o se alla libreria sono state applicate patch manualmente.

Web Security Scanner identifica alcune versioni vulnerabili delle seguenti librerie popolari:

Questo elenco viene aggiornato periodicamente con le nuove librerie e aggiornato le vulnerabilità, a seconda dei casi.

Scopri di più su come utilizzare Security Command Center nella console Google Cloud.

Applicazione di filtri ai risultati nella console Google Cloud

Un'organizzazione di grandi dimensioni potrebbe avere molti risultati relativi alle vulnerabilità nel proprio deployment da esaminare, valutare e monitorare. Utilizzando i filtri disponibili nelle pagine Vulnerabilità e Risultati di Security Command Center nella console Google Cloud, puoi concentrarti sulle vulnerabilità con gravità più elevata nella tua organizzazione ed esaminarle in base a tipo di asset, progetto e altro ancora.

Per ulteriori informazioni sul filtro dei risultati delle vulnerabilità, consulta Filtrare i risultati delle vulnerabilità in Security Command Center.

Disattiva risultati

Per controllare il volume dei risultati in Security Command Center, puoi disattivare manualmente o tramite codice i singoli risultati oppure creare regole di disattivazione che disattivano automaticamente i risultati attuali e futuri in base ai filtri che definisci.

I risultati disattivati vengono nascosti e silenziati, ma continuano a essere registrati per l'audit e ai fini della conformità. Puoi visualizzare i risultati silenziati o riattivarli in qualsiasi momento. A per saperne di più, consulta Disattivazione dei risultati in Security Command Center.

Scansiona configurazioni

Se vengono concesse le credenziali di accesso a Web Security Scanner, eseguirà tutte azioni che usano quel livello di accesso. Per ridurre i rischi per le risorse di produzione, e per individuare le vulnerabilità prima che raggiungano la produzione, è consigliabile eseguire scansioni in fase di sviluppo, test, gestione temporanea o controllo qualità ambienti cloud-native.

La scansione delle risorse di produzione è utile perché anche le modifiche di piccola entità alle risorse tra test e produzione possono introdurre vulnerabilità. Tuttavia, quando vuoi limitare l'accesso durante le scansioni di produzione. Consulta: Best practice per ulteriori informazioni.

Per rivedere le configurazioni delle scansioni gestite e avviare manualmente le scansioni, utilizza nella console Google Cloud.

Per visualizzare la configurazione della scansione gestita per un progetto:

  1. Vai alla pagina dello Scanner di sicurezza web nella console Google Cloud.
    Vai alla pagina di Web Security Scanner
  2. Seleziona un progetto. Viene visualizzata una pagina con l'elenco delle tue risorse gestite e personalizzate scansioni.
  3. In Scansione configurazioni, fai clic su managed_scan. Nella pagina visualizzata vengono mostrati i risultati dell'ultima scansione gestita, tra cui lo stato della scansione, gli URL sottoposti a scansione e le vulnerabilità rilevate. Utilizza l'elenco a discesa per visualizzare i risultati delle scansioni precedenti.

Web Security Scanner amministra e gestisce le scansioni gestite, pertanto non puoi modificare le configurazioni di scansione. Le scansioni gestite possono essere modificate o eliminate solo in Security Command Center, come descritto in Disattivazione delle scansioni gestite.

Intervalli di indirizzi IP statici per analisi gestite

Quando Web Security Scanner è abilitato in Security Command Center, le scansioni gestite vengono avviati automaticamente utilizzando indirizzi IP statici negli intervalli 34.66.18.0/26 e 34.66.114.64/26.

Scansioni on demand

Le analisi gestite vengono eseguite automaticamente in base a una pianificazione impostata. Tuttavia, puoi utilizzare Interfaccia di Web Security Scanner per eseguire scansioni gestite on demand:

  1. Vai alla pagina dello Scanner di sicurezza web nella console Google Cloud.
    Vai alla pagina Web Security Scanner
  2. Seleziona un progetto. Viene visualizzata una pagina con un elenco delle analisi gestite e personalizzate.
  3. In Scansione configurazioni, fai clic su managed_scan.
  4. Nella pagina successiva, fai clic su Esegui nella parte superiore della pagina; oppure
  5. Fai clic su Esegui di nuovo la scansione nella scheda Risultati.

La scansione inizia e i risultati vengono aggiornati in Security Command Center al termine. Le analisi gestite su richiesta sono utili quando si desidera acquisire risultati per nuovi ha aggiornato i progetti tra le scansioni pianificate. Le analisi on demand non influiscono delle scansioni settimanali pianificate.

Puoi trovare ulteriori informazioni sulla scansione nella pagina dei log del progetto.

Disabilitazione delle scansioni gestite

Ti consigliamo di mantenere abilitato Web Security Scanner per tutti i progetti in ambito. Tuttavia, puoi disattivare Web Security Scanner in Security Command Center o, se Security Command Center è attivate a livello di organizzazione, disabilita le scansioni gestite di Web Security Scanner per cartelle o progetti specifici.

Disattiva le scansioni di Web Security Scanner per un progetto o una cartella

Per disattivare le analisi gestite per una cartella o un progetto:

  1. Vai alla pagina Servizi in Security Command Center.

    Vai alla pagina Servizio

  2. Seleziona il progetto o l'organizzazione.

  3. Nella scheda Scanner di sicurezza web, fai clic su Gestisci impostazioni. Si apre la pagina Abilitazione del servizio per Web Security Scanner.

  4. Nel riquadro Attivazione del servizio, disabilita Web Security Scanner per il progetto o la cartella utilizzando uno dei seguenti metodi:

    • Vai al progetto o alla cartella:
      1. Nel riquadro Abilitazione del servizio, vai al progetto o alla cartella scorrendo ed espandendo l'organizzazione o le cartelle principali, se necessario.
      2. Nella riga relativa al progetto o alla cartella, nel menu Nella colonna Web Security Scanner, seleziona Disabilita.
    • Solo per progetti e cartelle, cerca il progetto o la cartella per nome:
      1. Fai clic su Cerca una cartella o un progetto.
      2. Nella finestra di dialogo Cerca risorse, inserisci il nome del progetto, cartella o organizzazione. Il progetto viene visualizzato nella finestra di dialogo.
      3. Nella finestra di dialogo, seleziona Disattiva dal menu nella colonna Scanner di sicurezza web.

I progetti disattivati non sono più inclusi nelle analisi gestite.

Disattivare Web Security Scanner in Security Command Center

Per disabilitare il servizio Web Security Scanner in Security Command Center:

  1. Vai alla pagina Services (Servizi) di Security Command Center.

    Vai alla pagina Servizio

  2. Seleziona il progetto o l'organizzazione.

  3. Nella scheda Scanner di sicurezza web, fai clic su Gestisci impostazioni. Viene aperta la pagina Abilitazione del servizio per Web Security Scanner.

  4. In Abilitazione del servizio, nella riga relativa al progetto o all'organizzazione di primo livello, seleziona Disattiva dal menu nella colonna Scanner di sicurezza web.

Web Security Scanner viene disattivato in Security Command Center e le scansioni gestite non verranno più eseguite.

Puoi continuare a utilizzare Web Security Scanner come prodotto autonomo tramite l'interfaccia di Web Security Scanner nella console Google Cloud, con le seguenti modifiche:

  • Devi configurare e gestire scansioni personalizzate per ognuno dei tuoi progetti.
  • Le configurazioni delle scansioni gestite sono archiviate e i risultati della scansione gestita esistenti rimangono visibili nella console Google Cloud.
  • Le scansioni gestite sono disponibili solo in Security Command Center Premium, pertanto le configurazioni delle scansioni gestite e i risultati delle scansioni gestite esistenti vengono rimossi dall'interfaccia di Web Security Scanner.

Se Web Security Scanner viene riattivato in Security Command Center, le configurazioni e i risultati delle scansioni gestite vengono visualizzati di nuovo nell'interfaccia di Web Security Scanner. In genere, se durante le nuove analisi vengono rilevate le stesse vulnerabilità, i risultati esistenti vengono aggiornati. Se la tua applicazione o il tuo sito web sono cambiati notevolmente dall'ultima scansione, potrebbero essere creati nuovi risultati.

Passaggi successivi