Como usar o Web Security Scanner

>

Nesta página, você aprenderá a usar os recursos de verificação gerenciados do Web Security Scanner e analisar as descobertas no painel do Security Command Center. Também são mostrados exemplos de descobertas do Web Security Scanner.

O Web Security Scanner é um serviço integrado para o nível Premium do Security Command Center que identifica vulnerabilidades de segurança comuns nos aplicativos da Web do App Engine, Google Kubernetes Engine (GKE) e do Compute Engine. Para ver as descobertas do Web Security Scanner, é necessário ativá-las nas configurações dos Serviços do Security Command Center.

O vídeo a seguir mostra as etapas para configurar o Web Security Scanner e usar o painel do Security Command Center. Saiba mais sobre como visualizar e gerenciar as descobertas do Web Security Scanner e como usar recursos de verificação gerenciados no texto, mais adiante nesta página.

Saiba mais sobre como o Web Security Scanner funciona.

Como revisar descobertas

O recurso verificação gerenciada do Web Security Scanner configura e programa automaticamente as verificações para cada um dos projetos no escopo. As verificações do Web Security Scanner podem levar até 24 horas para serem iniciadas após a ativação do serviço e serem executadas semanalmente após a primeira verificação. As descobertas são visualizadas no Security Command Center.

Como analisar as descobertas no Security Command Center

Para analisar as descobertas do Web Security Scanner no Security Command Center:

  1. Acesse a guia Descobertas do Security Command Center no Console do Google Cloud.
    Acessar a guia "Descobertas"
  2. Ao lado de Visualizar por, clique em Tipo de fonte.
  3. Na lista Tipo de fonte, selecione Web Security Scanner. Uma tabela será preenchida com as descobertas para o tipo de origem selecionado.
  4. Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em category. O painel de detalhes de descoberta é expandido para exibir informações, incluindo as seguintes:
    • Qual foi o evento
    • Quando o evento ocorreu
    • A fonte dos dados de descoberta
    • A gravidade de detecção, por exemplo, Alta
    • O URL afetado

Uma verificação pode gerar descobertas de vários URLs de base. Para exibir todas as descobertas de uma verificação associadas a um determinado URL:

  1. Clique no nome da descoberta em category.
  2. No painel de detalhes da descoberta, copie o URL ao lado de externalUri.
  3. Feche o painel de detalhes da descoberta.
  4. Na caixa Filtro, insira externalUri:affected-uri, em que affected-uri é o URL que você copiou anteriormente. O Security Command Center exibe todas as descobertas associadas ao URL.

Exemplos de descobertas

Exemplos de descobertas de verificação gerenciadas do Web Security Scanner:

Tabela A. Tipos de descoberta de verificação gerenciada pelo Web Security Scanner
Vulnerabilidade Descrição
Conteúdo misto Uma página que foi veiculada por HTTPS também exibe recursos por HTTP. Um invasor "man-in-the-middle" pode adulterar o recurso HTTP e ter acesso total ao site que carrega o recurso ou monitora as ações dos usuários.
Senha não criptografada Um aplicativo retorna conteúdo confidencial com um tipo de conteúdo inválido ou sem um cabeçalho X-Content-Type-Options: nosniff.
Biblioteca desatualizada

A versão de uma biblioteca incluída pode conter um problema de segurança. O scanner verifica a versão da biblioteca em uso e compara com uma lista conhecida de bibliotecas vulneráveis. Você poderá ter falsos positivos se a detecção da versão falhar ou caso a biblioteca tenha recebido um patch manual.

O Web Security Scanner identifica algumas versões vulneráveis das seguintes bibliotecas conhecidas:

Essa lista é atualizada periodicamente com novas bibliotecas e vulnerabilidades atualizadas, conforme aplicável.

Saiba mais sobreComo usar o painel do Security Command Center.

Configurações de verificação

Para rever as configurações de verificação gerenciadas e iniciar verificações manualmente, use o Console do Cloud.

Para ver a configuração da verificação gerenciada de um projeto:

  1. Acesse a página do Web Security Scanner no Console do Cloud.
    Acessar a página do Web Security Scanner
  2. Selecione um projeto. Uma página é exibida com uma lista de verificações gerenciadas e personalizadas.
  3. Em Configurações de verificação, clique em managed_scan. A página exibida mostra os resultados da verificação gerenciada mais recente, incluindo o status da verificação, os URLs rastreados e as vulnerabilidades encontradas. Use a lista suspensa para ver os resultados das verificações anteriores.

O Web Security Scanner administra e mantém verificações gerenciadas, portanto, não é possível modificar as configurações da verificação. As verificações gerenciadas só podem ser editadas ou excluídas no Security Command Center, conforme discutido em Como desativar verificações gerenciadas.

Verificações sob demanda

As verificações gerenciadas são executadas automaticamente em uma programação definido. No entanto, é possível usar a interface do Web Security Scanner para executar verificações gerenciadas sob demanda:

  1. Acesse a página do Web Security Scanner no Console do Cloud.
    Acessar a página do Web Security Scanner
  2. Selecione um projeto. Uma página é exibida com uma lista de verificações gerenciadas e personalizadas.
  3. Em Configurações de verificação, clique em managed_scan.
  4. Na página seguinte, clique em Executar no topo da página ou
  5. Clique em Executar verificação novamente na guia Resultados.

A verificação começa, e as descobertas serão atualizadas no Security Command Center quando concluídas. As verificações gerenciadas sob demanda são úteis quando você quer captar descobertas de projetos novos ou atualizados entre verificações programadas. As verificações sob demanda não afetam o cronograma das verificações semanais programadas.

Veja mais informações sobre a verificação na página de registros do projeto.

Como desativar verificações gerenciadas

É recomendável manter o Web Security Scanner ativado para todos os projetos em escopo. No entanto, é possível desativar o Web Security Scanner ou remover projetos específicos de verificações gerenciadas do Web Security Scanner.

Para remover projetos das verificações gerenciadas:

  1. Acesse a página Serviços no Security Command Center.
    Acessar a página "Serviços"
  2. Selecione a organização.
  3. Navegue até Configurações avançadas e expanda o menu para ver suas pastas e projetos.
  4. Na coluna Web Security Scanner, selecione Desativar por padrão, na lista suspensa de cada projeto que você quer remover das verificações gerenciadas.

Os projetos desativados não serão mais incluídos nas verificações gerenciadas.

Para desativar o Web Security Scanner no Security Command Center:

  1. Acesse a página Serviços no Security Command Center.
    Acessar a página "Serviços"
  2. Selecione a organização.
  3. Na lista suspensa ao lado de Web Security Scanner, selecione Desativar por padrão.

O Web Security Scanner está desativado no Security Command Center e as verificações gerenciadas não serão mais executadas.

É possível continuar usando o Web Security Scanner como um produto independente por meio da interface Web Security Scanner, no Console do Cloud, com as seguintes alterações:

  • Você precisa configurar e gerenciar verificações personalizadas para cada um dos projetos.
  • As configurações da verificação gerenciada são arquivadas. As descobertas da verificação gerenciada permanecem visíveis no painel do Security Command Center.
  • As verificações gerenciadas só estão disponíveis no Security Command Center Premium. Portanto, as configurações de verificações gerenciadas e descobertas existentes são removidas da interface do Web Security Scanner.

Se o Web Security Scanner for reativado no Security Command Center, as configurações e as descobertas da verificação gerenciada reaparecerão na interface do Web Security Scanner. Geralmente, se as mesmas vulnerabilidades forem encontradas durante as novas verificações, as descobertas existentes serão atualizadas. Se o aplicativo ou site mudou substancialmente desde a última verificação, novas descobertas poderão ser criadas.

A seguir