שימוש ב-Web Security Scanner

בדף הזה מוסבר איך להשתמש בתכונות של סריקה מנוהלת ב-Web Security Scanner ולעיין בתוצאות במסוף Google Cloud . מוצגות גם דוגמאות לממצאים של Web Security Scanner.

Web Security Scanner הוא שירות מובנה ב-Security Command Center שמזהה נקודות חולשה נפוצות באבטחה של אפליקציות אינטרנט ב-App Engine, ב-Google Kubernetes Engine ‏ (GKE) וב-Compute Engine. כדי לראות את הממצאים של Web Security Scanner, צריך להפעיל אותו בהגדרות Services ב-Security Command Center.

מידע נוסף על אופן הפעולה של Web Security Scanner

בדיקת הממצאים

התכונה סריקה מנוהלת של Web Security Scanner מגדירה ומתזמנת באופן אוטומטי סריקות לכל אחד מהפרויקטים שכלולים בהיקף. יכולות לחלוף עד 24 שעות מרגע הפעלת השירות ועד שהסריקות של Web Security Scanner יתחילו, והן יתבצעו מדי שבוע אחרי הסריקה הראשונה. הממצאים מוצגים ב-Security Command Center.

סריקות מנוהלות הן נפרדות מסריקות מותאמות אישית של Web Security Scanner. סריקות מותאמות אישית הן יסודיות יותר מסריקות מנוהלות שמוגדרות כברירת מחדל, והן מספקות מידע מפורט על ממצאי פגיעות באפליקציה. מידע על סריקות בהתאמה אישית זמין במדריך לסריקה בהתאמה אישית של Web Security Scanner.

בדיקת הממצאים במסוף

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

כדי לבדוק את הממצאים של Web Security Scanner ב-Security Command Center, מבצעים את השלבים הבאים:

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. בוחרים את הפרויקט או הארגון. Google Cloud
3. בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Web Security Scanner. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

הצגת כל הממצאים שמשויכים לכתובת URL ספציפית

סריקה יכולה להניב ממצאים מכמה כתובות URL בסיסיות. כדי להציג את כל הממצאים שמשויכים לכתובת URL מסוימת בסריקה, פועלים לפי השלבים הבאים:

1. פתיחת הממצא והצגת הגדרת ה-JSON שלו
2. מעתיקים את כתובת ה-URL לצד externalUri.
3. סוגרים את חלונית פרטי הממצא.

4. בעורך השאילתות, מזינים את השאילתה הבאה:

   externalUri:"AFFECTED_URI"
   

   מחליפים את AFFECTED_URI בכתובת ה-URL שהעתקתם קודם.

ב-Security Command Center מוצגים כל הממצאים שמשויכים לכתובת ה-URL.

ממצאים לדוגמה

דוגמאות לממצאים של סריקה מנוהלת באמצעות Web Security Scanner:

טבלה א'. סוגי הממצאים של סריקה מנוהלת ב-Web Security Scanner

נקודת חולשה	תיאור
תוכן מעורב	דף שהוצג באמצעות HTTPS גם מציג משאבים באמצעות HTTP. א תוקף מסוג 'אדם באמצע' יכול לשנות את משאב ה-HTTP ולקבל גישה מלאה לאתר שטוען את המשאב, או לעקוב אחרי פעולות המשתמשים.
ניקוי סיסמה בטקסט גלוי	אפליקציה מחזירה תוכן רגיש עם סוג תוכן לא תקין, או בלי כותרת X-Content-Type-Options: nosniff.
ספרייה מיושנת	ידוע שהגרסה של ספרייה כלולה מכילה בעיית אבטחה. הסורק בודק את גרסת הספרייה שנמצאת בשימוש מול רשימה ידועה של ספריות פגיעות. יכול להיות שיהיו תוצאות חיוביות שגויות אם זיהוי הגרסה ייכשל או אם הספרייה תוקנה באופן ידני. כלי Web Security Scanner מזהה כמה גרסאות פגיעות של הספריות הפופולריות הבאות: לדוגמה, jQuery: CVE-2011-4969 לדוגמה, jQuery Mobile: known XSS vulnerability לדוגמה, ב-AngularJS: XSS through SVG vulnerability הרשימה הזו מתעדכנת מדי פעם עם ספריות חדשות ופרצות אבטחה מעודכנות, לפי הצורך.

מידע נוסף על השימוש ב-Security Command Center ב Google Cloud מסוף

סינון הממצאים במסוף Google Cloud

בארגון גדול יכולות להיות הרבה נקודות חולשה בפריסה שלו שצריך לבדוק, לסווג ולעקוב אחריהן. בעזרת המסננים שזמינים בדפים Vulnerabilities (נקודות חולשה) ו-Findings (ממצאים) ב Google Cloud מסוף של Security Command Center, אתם יכולים להתמקד בנקודות החולשה ברמת החומרה הגבוהה ביותר בארגון, ולבדוק נקודות חולשה לפי סוג הנכס, הפרויקט ועוד.

מידע נוסף על סינון ממצאים של נקודות חולשה זמין במאמר סינון ממצאים של נקודות חולשה ב-Security Command Center.

השתקת ממצאים

כדי לשלוט בכמות הממצאים ב-Security Command Center, אתם יכולים להשתיק ממצאים ספציפיים באופן ידני או באמצעות תוכנה, או ליצור כללי השתקה שמשתיקים באופן אוטומטי ממצאים נוכחיים ועתידיים על סמך מסננים שאתם מגדירים.

ממצאים שהושתקו מוסתרים ומושתקים, אבל ממשיכים להירשם ביומן למטרות ביקורת ותאימות. בכל שלב אפשר לראות את הממצאים שהושתקו או לבטל את ההשתקה שלהם. מידע נוסף זמין במאמר בנושא השתקת ממצאים ב-Security Command Center.

הגדרות סריקה

אם תספקו ל-Web Security Scanner פרטי כניסה לגישה, הוא יבצע את כל הפעולות באמצעות רמת הגישה הזו. כדי להפחית את הסיכון למשאבי הייצור ולזהות נקודות חולשה לפני שהן מגיעות לייצור, מומלץ להריץ סריקות בסביבות פיתוח, בדיקה, הכנה או בקרת איכות.

סריקת משאבי הפקה היא שימושית כי אפילו שינויים קטנים במשאבים בין הבדיקה להפקה עלולים להוביל לפגיעות. עם זאת, יכול להיות שתרצו להגביל את הגישה במהלך סריקות ייצור. מידע נוסף זמין במאמר בנושא שיטות מומלצות.

כדי לבדוק את ההגדרות של סריקות מנוהלות ולהתחיל סריקות באופן ידני, משתמשים במסוףGoogle Cloud .

כדי לראות את הגדרות הסריקה המנוהלות של פרויקט:

1. עוברים לדף Web Security Scanner במסוף Google Cloud .
   מעבר לדף Web Security Scanner
2. בוחרים פרויקט. יופיע דף עם רשימה של הסריקות המנוהלות והמותאמות אישית.
3. בקטע Scan configs (הגדרות סריקה), לוחצים על managed_scan. בדף שמופיע מוצגות התוצאות של הסריקה המנוהלת האחרונה, כולל סטטוס הסריקה, כתובות ה-URL שנסרקו והפגיעויות שנמצאו. משתמשים ברשימה הנפתחת כדי לראות את התוצאות של סריקות קודמות.

Web Security Scanner מנהל ומתחזק סריקות מנוהלות, ולכן אי אפשר לשנות את הגדרות הסריקה. אפשר לערוך או למחוק סריקות מנוהלות רק ב-Security Command Center, כמו שמוסבר במאמר בנושא השבתת סריקות מנוהלות.

טווחים של כתובות IP סטטיות לסריקות מנוהלות

כשמפעילים את Web Security Scanner ב-Security Command Center, סריקות מנוהלות מתחילות באופן אוטומטי באמצעות כתובות IP סטטיות בטווחים הבאים:

• 8.34.210.32/27
• 34.66.18.0/26
• 34.66.114.64/26
• 34.68.34.64/27

סריקות לפי דרישה

סריקות מנוהלות מופעלות אוטומטית לפי לוח זמנים מוגדר. אבל אפשר להשתמש בדף Web Security Scanner כדי להריץ סריקות מנוהלות לפי דרישה:

1. עוברים לדף Web Security Scanner במסוף Google Cloud .
   מעבר לדף Web Security Scanner
2. בוחרים פרויקט. יופיע דף עם רשימה של הסריקות המנוהלות והמותאמות אישית.
3. בקטע Scan configs (הגדרות סריקה), לוחצים על managed_scan.
4. בדף הבא, לוחצים על Run (הפעלה) בחלק העליון של הדף. לחלופין,
5. בכרטיסייה תוצאות, לוחצים על הפעלת הסריקה מחדש.

הסריקה מתחילה והממצאים מתעדכנים ב-Security Command Center כשהיא מסתיימת. סריקות מנוהלות לפי דרישה שימושיות כשרוצים לתעד ממצאים של פרויקטים חדשים או מעודכנים בין סריקות מתוזמנות. סריקות לפי דרישה לא משפיעות על התזמון של סריקות שבועיות מתוזמנות.

מידע נוסף על הסריקה זמין בדף היומנים של הפרויקט.

השבתת סריקות מנוהלות

כדי להשבית סריקות מנוהלות בארגון, בתיקייה או בפרויקט, צריך להשבית את השירות Web Security Scanner ב-Security Command Center. הוראות מפורטות מופיעות במאמר הפעלה או השבתה של שירות מובנה.

אתם יכולים להמשיך להשתמש ב-Web Security Scanner כמוצר עצמאי כדי להריץ סריקות בהתאמה אישית. כמה נקודות שכדאי לזכור:

• צריך להגדיר ולנהל סריקות בהתאמה אישית לכל פרויקט שרוצים לסרוק.
• תצורות סריקה מנוהלות מועברות לארכיון. הממצאים הקיימים של סריקות מנוהלות עדיין מוצגים במסוף Google Cloud .
• סריקות מנוהלות זמינות רק ב-Security Command Center, ולכן הגדרות של סריקות מנוהלות וממצאים קיימים של סריקות מנוהלות מוסרים מהדף העצמאי של Web Security Scanner.

אם מפעילים מחדש את Web Security Scanner ב-Security Command Center, ההגדרות המנוהלות של הסריקה והממצאים מופיעים מחדש בדף Web Security Scanner. באופן כללי, אם סריקות חדשות מוצאות את אותן נקודות חולשה, הממצאים הקיימים מתעדכנים. אם האפליקציה או האתר שלכם השתנו באופן משמעותי מאז הסריקה האחרונה, יכול להיות שייווצרו ממצאים חדשים.

המאמרים הבאים

• מידע נוסף על תיקון הממצאים של Web Security Scanner