Usa Web Security Scanner

>

En esta página, se muestra cómo usar las funciones de análisis administradas de Web Security Scanner y revisar los resultados en el panel de Security Command Center. También se muestran ejemplos de los resultados de Web Security Scanner.

Web Security Scanner es un servicio integrado para el nivel Premium de Security Command Center que identifica vulnerabilidades de seguridad comunes en tus aplicaciones web de App Engine, Google Kubernetes Engine (GKE) y Compute Engine. Para ver los resultados de Web Security Scanner, debe estar habilitado en la configuración de Servicios del Security Command Center.

En el siguiente video, se muestran los pasos para configurar Web Security Scanner y usar el panel del Security Command Center. Obtén más información para ver y administrar los hallazgos de Web Security Scanner y usar las funciones de análisis administradas en texto más adelante en esta página.

Obtén más información sobre cómo funciona Web Security Scanner.

Revisa los resultados

La función de análisis administrado de Web Security Scanner configura automáticamente y programa los análisis para cada uno de tus proyectos dentro del alcance. Los análisis de Web Security Scanner pueden llevar hasta 24 horas para iniciarse después de que se habilita el servicio y se ejecutan de manera semanal después del primer análisis. Los resultados se pueden ver en Security Command Center.

Revisa resultados en Security Command Center

Para revisar los resultados de Web Security Scanner en Security Command Center, haz lo siguiente:

  1. Ve a la pestaña Resultados de Security Command Center en Google Cloud Console.
    Ir a la pestaña Resultados
  2. Junto a Ver por, haz clic en Tipo de fuente.
  3. En la lista Tipo de fuente, selecciona Web Security Scanner. Una tabla se propaga con los resultados para el tipo de fuente que seleccionaste.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en category. El panel de detalles de resultados se expande para mostrar información que incluye lo siguiente:
    • Cuál fue el evento
    • Cuándo ocurrió el evento
    • La fuente de los datos de los resultados
    • La gravedad de la detección, por ejemplo Alta
    • La URL afectada

Un análisis puede producir resultados de varias URL base. Para mostrar todos los resultados asociados a una URL determinada en un análisis, haz lo siguiente:

  1. Haz clic en el nombre del resultado debajo de category.
  2. En el panel de detalles de búsqueda, copia la URL junto a externalUri.
  3. Cierra el panel de detalles de los resultados.
  4. En el cuadro Filtro, ingresa externalUri:affected-uri, en el que affected-uri es la URL que copiaste antes. Security Command Center muestra todos los resultados asociados con la URL.

Resultados de ejemplo

Estos son algunos ejemplos de resultados de análisis administrados de Web Security Scanner:

Tabla A. Tipos de búsqueda de análisis administrado de Web Security Scanner
Vulnerabilidad Descripción
Contenido mixto Una página entregada mediante HTTPS también entrega recursos mediante HTTP. Un atacante de intermediario podría alterar el recurso HTTP y obtener acceso completo al sitio web que carga el recurso o supervisar las acciones de los usuarios.
Contraseña en texto no encriptado Una aplicación muestra contenido sensible con un tipo de contenido no válido o sin un encabezado X-Content-Type-Options: nosniff.
Biblioteca desactualizada

Se sabe que la versión de una biblioteca incluida contiene un problema de seguridad. El análisis verifica la versión de la biblioteca en uso con una lista conocida de bibliotecas vulnerables. Los falsos positivos son posibles si falla la detección de la versión o si se le aplicó un parche a la biblioteca de forma manual.

Web Security Scanner identifica algunas versiones vulnerables de las siguientes bibliotecas populares:

Esta lista se actualiza de forma periódica con bibliotecas nuevas y vulnerabilidades actualizadas según corresponda.

Obtén más información sobre el uso del panel de Security Command Center.

Opciones de configuración de análisis

Para revisar las opciones de configuración del análisis administrado y comenzar a analizar de forma manual, usa Cloud Console.

Para ver la configuración de análisis administrado de un proyecto, sigue estos pasos:

  1. Ve a la página Web Security Scanner en Cloud Console.
    Ir a la página de Web Security Scanner
  2. Selecciona un proyecto Aparecerá una página con una lista de los análisis administrados y personalizados.
  3. En Opciones de configuración de análisis, haz clic en managed_scan. La página que aparece muestra los resultados del análisis administrado más reciente, incluidos el estado del análisis, las URL rastreadas y las vulnerabilidades encontradas. Usa la lista desplegable para ver los resultados de análisis anteriores.

Web Security Scanner administra y mantiene los análisis administrados, por lo que no puedes modificar las opciones de configuración de análisis. Los análisis administrados solo se pueden editar o borrar en el Security Command Center, como se explica en Inhabilita análisis administrados.

Análisis a pedido

Los análisis administrados se ejecutan de forma automática en un programa establecido. Sin embargo, puedes usar la interfaz de Web Security Scanner para ejecutar análisis administrados a pedido:

  1. Ve a la página Web Security Scanner en Cloud Console.
    Ir a la página de Web Security Scanner
  2. Selecciona un proyecto Aparecerá una página con una lista de los análisis administrados y personalizados.
  3. En Opciones de configuración de análisis, haz clic en managed_scan.
  4. En la página siguiente, haz clic en Ejecutar en la parte superior de la página; o
  5. Haz clic en Volver a ejecutar el análisis en la pestaña Resultados.

El análisis comienza y los resultados se actualizan en Security Command Center cuando se completa. Los análisis administrados a pedido son útiles cuando deseas capturar los resultados para proyectos nuevos o actualizados entre los análisis programados. Los análisis a pedido no afectan el tiempo de los análisis semanales programados.

Puedes encontrar más información sobre el análisis en la página de registros del proyecto.

Inhabilita los análisis administrados

Se recomienda que Web Security Scanner esté habilitado para todos los proyectos dentro del alcance. Sin embargo, puedes inhabilitar Web Security Scanner o quitar proyectos específicos de los análisis administrados de este.

Para quitar proyectos de los análisis administrados, haz lo siguiente:

  1. Ve a la página Servicios en Security Command Center.
    Ir a la página Servicio
  2. Selecciona tu organización.
  3. Navega a Configuración avanzada y expande el menú para ver tus carpetas y proyectos.
  4. En la columna Web Security Scanner, selecciona Inhabilitar de forma predeterminada en la lista desplegable para cada proyecto que desees quitar de los análisis administrados.

Los proyectos inhabilitados ya no se incluyen en los análisis administrados.

Para inhabilitar Web Security Scanner en Security Command Center, haz lo siguiente:

  1. Ve a la página Servicios en Security Command Center.
    Ir a la página Servicio
  2. Selecciona tu organización.
  3. En la lista desplegable junto a Web Security Scanner, selecciona Inhabilitar de forma predeterminada.

Web Security Scanner está inhabilitado en Security Command Center y los análisis administrados ya no se ejecutarán.

Puedes continuar con el uso de Web Security Scanner como un producto independiente a través de la interfaz de Web Security Scanner en Cloud Console, con los siguientes cambios:

  • Debes configurar y administrar análisis personalizados para cada uno de tus proyectos.
  • Las opciones de configuración de los análisis administrados se archivan y los resultados de los análisis administrados existentes permanecen visibles en el panel de Security Command Center.
  • Los análisis administrados solo están disponibles en la versión Premium de Security Command Center, por lo que las opciones de configuración de análisis administrados y resultados de los análisis administrados existentes se quitan de la interfaz de Web Security Scanner.

Si Web Security Scanner se vuelve a habilitar en Security Command Center, las opciones de configuración y los resultados de los análisis administrados vuelven a aparecer en la interfaz de Web Security Scanner. Por lo general, si se encuentran las mismas vulnerabilidades durante los análisis nuevos, los resultados existentes se actualizan. Si tu aplicación o sitio web cambió sustancialmente desde el último análisis, es posible que se creen resultados nuevos.

¿Qué sigue?