Usa Web Security Scanner

En esta página, se muestra cómo usar las funciones de análisis administrado de Web Security Scanner y revisar los resultados en la consola de Google Cloud. También se muestran ejemplos de los resultados de Web Security Scanner.

Web Security Scanner es un servicio integrado para el nivel Premium de Security Command Center que identifica vulnerabilidades de seguridad comunes en tus aplicaciones web de App Engine, Google Kubernetes Engine (GKE) y Compute Engine. Para visualiza los resultados de Web Security Scanner, debe estar habilitado en Security Command Center Servicios configuración.

Obtén más información sobre Cómo funciona Web Security Scanner.

Revisa los resultados

Web Security Scanner análisis administrado configura y programa automáticamente análisis para cada uno de los que están dentro del alcance proyectos. Los análisis de Web Security Scanner pueden llevar hasta 24 horas para iniciarse después de que se habilita el servicio y se ejecutan de manera semanal después del primer análisis. Los resultados se pueden ver en Security Command Center.

Revisa los resultados en la consola

Los roles de IAM para Security Command Center se pueden otorgar a nivel de la organización, a nivel de carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos, y las fuentes de seguridad dependen del nivel al que se te otorgue acceso. Para obtener más información Para conocer los roles de Security Command Center, consulta Control de acceso.

Para revisar los resultados de Web Security Scanner en Security Command Center, sigue estos pasos:

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.

    Ir a Hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Web Security Scanner. Los resultados de la búsqueda de resultados se actualizan para mostrar solo los los resultados obtenidos de esta fuente.
  4. Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre qué se detectó, el recurso afectado y, si están disponibles, los pasos que puedes realizar para corregir el hallazgo.
  6. Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.

Consola de operaciones de seguridad (versión preliminar)

  1. En la consola de operaciones de seguridad, ve a la página Hallazgos.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. En la sección Agregaciones, haz clic para expandir el Nombre visible de la fuente. subsección.
  3. Selecciona Web Security Scanner. Los resultados de la búsqueda de resultados se actualizan para mostrar solo los resultados de esta fuente.
  4. Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre qué se detectó, el recurso afectado y, si están disponibles, los pasos que puedes realizar para corregir el hallazgo.
  6. Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.

Cómo ver todos los hallazgos asociados con una URL específica

Un análisis puede producir resultados a partir de varias URLs base. Mostrar todos los resultados asociados con una URL determinada en un análisis, sigue estos pasos:

  1. Abre el hallazgo y visualiza su definición de JSON.
  2. Copia la URL que aparece junto a externalUri.
  3. Cierra el panel de detalles de los resultados.
  4. En el Editor de consultas, ingresa la siguiente consulta:

    externalUri:"AFFECTED_URI"
    

    Reemplaza AFFECTED_URI por la URL que copiaste antes.

Security Command Center muestra todos los resultados asociados con la URL.

Resultados de ejemplo

Estos son algunos ejemplos de resultados de análisis administrados de Web Security Scanner:

Tabla A. Tipos de búsqueda de análisis administrado de Web Security Scanner
Vulnerabilidad Descripción
Contenido mixto Una página entregada mediante HTTPS también entrega recursos mediante HTTP. Un atacante de intermediario podría alterar el recurso HTTP y obtener acceso completo al sitio web que carga el recurso o supervisar las acciones de los usuarios.
Contraseña en texto no encriptado Una aplicación muestra contenido sensible con un tipo de contenido no válido o sin un encabezado X-Content-Type-Options: nosniff.
Biblioteca desactualizada

Se sabe que la versión de una biblioteca incluida contiene un problema de seguridad. El análisis verifica la versión de la biblioteca en uso con una lista conocida de bibliotecas vulnerables. Los falsos positivos son posibles si falla la detección de la versión o si se le aplicó un parche a la biblioteca de forma manual.

Web Security Scanner identifica algunas versiones vulnerables de las siguientes bibliotecas populares:

Esta lista se actualiza de forma periódica con bibliotecas nuevas y vulnerabilidades actualizadas según corresponda.

Obtén más información sobre Usar Security Command Center en la consola de Google Cloud.

Filtra los resultados en la consola de Google Cloud

Una organización grande podría tener muchos resultados de vulnerabilidad en su implementación para revisar, clasificar y hacer un seguimiento. Usando filtros disponibles en las páginas Vulnerabilidades y Hallazgos de Security Command Center en la consola de Google Cloud, puedes enfocarte en los eventos de las vulnerabilidades en tu organización y las revisas el tipo de activo, el proyecto y mucho más.

Para obtener más información sobre cómo filtrar los resultados de vulnerabilidades, consulta Cómo filtrar los resultados de vulnerabilidades en Security Command Center.

Silenciar resultados

Para controlar el volumen de resultados en Security Command Center, puedes silenciar de forma manual o programática resultados individuales o crear reglas de silenciamiento que silencian de forma automática los resultados actuales y futuros según los filtros que definas.

Los resultados silenciados se ocultan y silencian, pero se siguen registrando con fines de auditoría y cumplimiento. Puedes ver los resultados silenciados o dejar de silenciarlos en cualquier momento. Para para obtener más información, consulta Silenciar los resultados en Security Command Center.

Opciones de configuración de análisis

Si Web Security Scanner recibe credenciales de acceso, realizará todas las acciones con ese nivel de acceso. Para reducir el riesgo a tus recursos de producción y detectar vulnerabilidades antes de que alcancen la producción, se recomienda que ejecutes análisis en entornos de desarrollo, prueba, etapa de pruebas o control de calidad.

Analizar los recursos de producción es útil porque incluso los cambios pequeños en los recursos entre las pruebas y la producción pueden generar vulnerabilidades. Sin embargo, es posible que desees usar el acceso limitado durante los análisis de producción. Consulta Prácticas recomendadas para obtener más información.

Para revisar las opciones de configuración del análisis administrado y comenzar a analizar de forma manual, usa la consola de Google Cloud.

Para ver la configuración de análisis administrado de un proyecto, sigue estos pasos:

  1. Ve a la página Web Security Scanner en la consola de Google Cloud.
    Ir a la página de Web Security Scanner
  2. Selecciona un proyecto Aparecerá una página con una lista de los análisis administrados y personalizados.
  3. En Opciones de configuración de análisis, haz clic en managed_scan. La página que aparece muestra los resultados del análisis administrado más reciente, incluidos el estado del análisis, las URL rastreadas y las vulnerabilidades encontradas. Usa la lista desplegable para ver los resultados de análisis anteriores.

Web Security Scanner administra y mantiene los análisis administrados, por lo que no puedes modificar las opciones de configuración de análisis. Los análisis administrados solo se pueden editar o borrar en Security Command Center, como se explica en Inhabilita los análisis administrados.

Rangos de direcciones IP estáticas para análisis administrados

Cuando Web Security Scanner está habilitado en Security Command Center, los análisis administrados comienzan de forma automática mediante direcciones IP estáticas en los rangos 34.66.18.0/26 y 34.66.114.64/26.

Análisis a pedido

Los análisis administrados se ejecutan de forma automática en un programa establecido. Sin embargo, puedes usar la interfaz de Web Security Scanner para ejecutar análisis administrados a pedido:

  1. Ve a la página Web Security Scanner en la consola de Google Cloud.
    Ir a la página de Web Security Scanner
  2. Selecciona un proyecto Aparecerá una página con una lista de los análisis administrados y personalizados.
  3. En Opciones de configuración de análisis, haz clic en managed_scan.
  4. En la página siguiente, haz clic en Ejecutar en la parte superior de la página; o
  5. Haz clic en Volver a ejecutar el análisis en la pestaña Resultados.

El análisis comienza y los resultados se actualizan en Security Command Center cuando se completa. Los análisis administrados a pedido son útiles cuando deseas capturar los resultados para proyectos nuevos o actualizados entre los análisis programados. Los análisis a pedido no afectan el tiempo de los análisis semanales programados.

Puedes encontrar más información sobre el análisis en la página de registros del proyecto.

Inhabilita los análisis administrados

Se recomienda que Web Security Scanner esté habilitado para todos los proyectos dentro del alcance. Sin embargo, puedes inhabilitar Web Security Scanner en Security Command Center o, si Security Command Center es se activan a nivel de la organización, inhabilitar los análisis administrados de Web Security Scanner de carpetas o proyectos específicos.

Inhabilitar los análisis de Web Security Scanner para un proyecto o una carpeta

Para inhabilitar los análisis administrados de una carpeta o un proyecto, haz lo siguiente:

  1. Ve a la página Servicios en Security Command Center.

    Ir a la página Servicio

  2. Selecciona tu organización o proyecto.

  3. En la tarjeta Web Security Scanner, haz clic en Administrar configuración. Se abrirá la página Habilitación de servicios para Web Security Scanner.

  4. En el panel Habilitación de servicios, inhabilita Web Security Scanner del proyecto o la carpeta mediante una de las con los siguientes métodos:

    • Navega al proyecto o la carpeta:
      1. En el panel Habilitación de servicios, navega al proyecto o a la carpeta. desplazando y expandiendo las organizaciones o carpetas superiores según sea necesario.
      2. En la fila del proyecto o la carpeta, en el menú de la columna Web Security Scanner, selecciona Inhabilitar.
    • Solo para proyectos y carpetas, busca el proyecto o la carpeta por nombre:
      1. Haz clic en Buscar una carpeta o un proyecto.
      2. En el diálogo Buscar recursos, ingresa el nombre del proyecto. carpeta u organización. El proyecto se mostrará en el diálogo.
      3. En el cuadro de diálogo, en el menú de En la columna Web Security Scanner, selecciona Inhabilitar.

Los proyectos inhabilitados ya no se incluyen en los análisis administrados.

Inhabilitar Web Security Scanner en Security Command Center

Para inhabilitar el servicio Web Security Scanner en Security Command Center, haz lo siguiente:

  1. Ve a la página Servicios en Security Command Center.

    Ir a la página Servicio

  2. Selecciona tu organización o proyecto.

  3. En la tarjeta Web Security Scanner, haz clic en Administrar configuración. Se abrirá la página Habilitación del servicio de Web Security Scanner.

  4. En Habilitación de servicios, en la fila del proyecto de nivel superior u organización, en el menú de la pestaña En la columna Web Security Scanner, selecciona Inhabilitar.

Web Security Scanner está inhabilitado en Security Command Center y los análisis administrados ya no se ejecutarán.

Puedes continuar con el uso de Web Security Scanner como un producto independiente a través de la interfaz de Web Security Scanner en la consola de Google Cloud, con los siguientes cambios:

  • Debes configurar y administrar análisis personalizados para cada uno de tus proyectos.
  • Los parámetros de configuración del análisis administrado se archivan y los resultados del análisis administrado existentes seguirán visibles en la consola de Google Cloud.
  • Los análisis administrados solo están disponibles en la versión Premium de Security Command Center, por lo que las opciones de configuración de análisis administrados y resultados de los análisis administrados existentes se quitan de la interfaz de Web Security Scanner.

Si Web Security Scanner se vuelve a habilitar en Security Command Center, las opciones de configuración y los resultados de los análisis administrados vuelven a aparecer en la interfaz de Web Security Scanner. Por lo general, si se encuentran las mismas vulnerabilidades durante los análisis nuevos, los resultados existentes se actualizan. Si tu aplicación o sitio web cambió sustancialmente desde el último análisis, es posible que se creen resultados nuevos.

¿Qué sigue?