Detektivische Kontrollen

Detektivische Kontrollen sind Sicherheitskontrollen, die darauf ausgelegt sind, ein Ereignis zu erkennen, zu protokollieren und eine Warnung auszusprechen, nachdem es eingetreten ist. Detektivische Kontrollen sind ein grundlegender Bestandteil des Governance-Frameworks. Diese Leitplanken bilden eine zweite Verteidigungslinie und informieren Sie über Sicherheitsprobleme, die die präventiven Kontrollen umgangen haben.

Sie könnten z. B. eine detektivische Kontrolle anwenden, die erkennt und Sie benachrichtigt, wenn ein Amazon Simple Storage Service (Amazon S3)-Bucket öffentlich zugänglich wird. Möglicherweise verfügen Sie über präventive Kontrollen, die den öffentlichen Zugriff auf S3-Buckets auf Kontoebene und dann den Zugriff über SCPs deaktivieren, aber ein Bedrohungsakteur kann diese präventiven Kontrollen umgehen, indem er sich als Administratorbenutzer anmeldet. In diesen Situationen kann eine detektivische Kontrolle Sie auf die Fehlkonfiguration und die potenzielle Bedrohung aufmerksam machen.

Ziele

• Detektivische Kontrollen helfen Ihnen dabei, Ihre Sicherheits- und Qualitätsprozesse zu verbessern.

• Detektivische Kontrollen helfen Ihnen dabei, regulatorische, rechtliche oder Compliance-Verpflichtungen zu erfüllen.

• Detektivische Kontrollen bieten Sicherheitsteams Transparenz, sodass sie auf Sicherheitsprobleme reagieren können, einschließlich hochentwickelter Bedrohungen, die die präventiven Kontrollen umgehen.

• Detektivische Kontrollen können Ihnen dabei helfen, geeignete Maßnahmen für Sicherheitsprobleme und potenzielle Bedrohungen zu finden.

Prozess

Sie implementieren detektivische Kontrollen in zwei Phasen. Zunächst richten Sie das System so ein, dass Ereignisse und Ressourcenstatus an einem zentralen Ort wie Amazon CloudWatch Logs protokolliert werden. Nachdem die zentrale Protokollierung eingerichtet ist, analysieren Sie diese Protokolle, um Anomalien zu erkennen, die auf eine Bedrohung hinweisen könnten. Bei jeder Analyse handelt es sich um eine Kontrolle, die Ihren ursprünglichen Anforderungen und Richtlinien entspricht. Sie können beispielsweise eine detektivische Kontrolle einrichten, die die Protokolle nach einem bestimmten Muster durchsucht und bei Übereinstimmung eine Warnung generiert. Detektivische Kontrollen werden von Sicherheitsteams eingesetzt, um sich einen besseren Überblick über Bedrohungen und Risiken zu verschaffen, denen ihr System ausgesetzt sein könnte.

Anwendungsfälle

Erkennung von verdächtigem Verhalten

Detektivische Kontrollen helfen dabei, ungewöhnliche Aktivitäten zu identifizieren, wie z. B. kompromittierte privilegierte Benutzeranmeldeinformationen oder den Zugriff auf oder die Exfiltration sensibler Daten. Diese Kontrollen sind wichtige reaktive Faktoren, die Ihrem Unternehmen helfen können, den Umfang anomaler Aktivitäten zu identifizieren und zu verstehen.

Aufdeckung von Betrug

Diese Kontrollen helfen dabei, eine Bedrohung innerhalb Ihres Unternehmens zu erkennen und zu identifizieren, z. B. einen Benutzer, der Richtlinien umgeht und nicht autorisierte Transaktionen durchführt.

-Compliance

Detektivische Kontrollen unterstützen Sie bei der Einhaltung von Compliance-Anforderungen wie z. B. dem Payment Card Industry Data Security Standard (PCI DSS) und kann dazu beitragen, Identitätsdiebstahl zu verhindern. Diese Kontrollen können Ihnen helfen, vertrauliche Informationen zu entdecken und zu schützen, die der Einhaltung gesetzlicher Vorschriften unterliegen, wie z. B. personenbezogene Daten.

Automatisierte Analyse

Detektivische Kontrollen können Protokolle automatisch analysieren, um Anomalien und andere Anzeichen für unbefugte Aktivitäten zu erkennen.

Sie können Protokolle aus verschiedenen Quellen automatisch analysieren, z. B. AWS CloudTrail -Protokolle, VPC Flow Log und Domain Name System (DNS)-Protokolle, die Hinweise auf potenziell bösartige Aktivitäten enthalten. Um die Organisation zu erleichtern, können Sie Sicherheitswarnungen oder Ergebnisse von mehreren AWS -Services an einem zentralen Ort zusammenfassen.

Technologie

Ein gängiges Erkennungsinstrument ist die Implementierung eines oder mehrerer Überwachungsservices, die Datenquellen wie Protokolle analysieren können, um Sicherheitsbedrohungen zu identifizieren. In der AWS Cloud können Sie Quellen wie AWS CloudTrail Protokolle, Amazon S3 S3-Zugriffsprotokolle und Amazon Virtual Private Cloud Cloud-Flow-Protokolle analysieren, um ungewöhnliche Aktivitäten zu erkennen. AWS Sicherheitsdienste wie Amazon GuardDuty, Amazon Detective und Amazon Macie verfügen über integrierte Überwachungsfunktionen. AWS Security Hub

GuardDuty und Security Hub

Amazon GuardDuty verwendet Bedrohungsinformationen, maschinelles Lernen und Techniken zur Erkennung von Anomalien, um Ihre Protokollquellen kontinuierlich auf böswillige oder unbefugte Aktivitäten zu überwachen. Das Dashboard bietet Einblicke in den Zustand Ihrer Workloads und Ihrer AWS-Konten Workloads in Echtzeit. Sie können einen Cloud-Dienst zur Verwaltung der Sicherheitslage integrieren GuardDuty AWS Security Hub, der die Einhaltung von Best Practices überprüft, Warnmeldungen zusammenfasst und automatische Problembehebungen ermöglicht. GuardDuty sendet Ergebnisse an Security Hub, um Informationen zu zentralisieren. Sie können Security Hub auch in SIEM-Lösungen (Security Information and Event Management) integrieren, um die Überwachungs- und Warnfunktionen für Ihre Organisation zu erweitern.

Macie

Amazon Macie ist ein vollständig verwalteter Service für Datensicherheit und Datenschutz, der Machine Learning und Musterabgleich verwendet, um Ihre sensiblen Daten in AWS zu erkennen, zu überwachen und zu schützen. Im Folgenden werden einige der in Macie verfügbaren detektivischen Kontrollen und Features aufgeführt:

• Macie inspiziert das Bucket-Inventar und alle in Amazon S3 gespeicherten Objekte. Diese Informationen können in einer einzigen Dashboard-Ansicht dargestellt werden, was für Transparenz sorgt und Sie bei der Bewertung der Bucket-Sicherheit unterstützt.

• Für die Erkennung sensibler Daten verwendet Macie integrierte, verwaltete Datenkennungen und unterstützt auch benutzerdefinierte Datenkennungen.

• Macie lässt sich nativ in andere AWS -Services AMD-Tools integrieren. Macie gibt beispielsweise Ergebnisse als EventBridge Amazon-Ereignisse aus, die automatisch an Security Hub gesendet werden.

Im Folgenden finden Sie bewährte Methoden für die Konfiguration von detektivischen Kontrollen in Macie:

• Aktivieren Sie Macie für alle Konten. Aktivieren Sie Macie mithilfe des Features zur delegierten Verwaltung für mehrere Konten, indem Sie AWS Organizations verwenden.

• Verwenden Sie Macie, um den Sicherheitsstatus der S3-Buckets in Ihren Konten zu bewerten. Dies trägt dazu bei, Datenverlust zu verhindern, indem Transparenz über den Speicherort und den Zugriff auf Daten bereitgestellt wird. Weitere Informationen finden Sie unter Analyse Ihres Amazon S3 Sicherheitsstatus (Macie-Dokumentation).

• Automatisieren Sie die Erkennung sensibler Daten in Ihren S3-Buckets, indem Sie automatisierte Verarbeitungs- und Datenerkennungsaufträge ausführen und planen. Dadurch werden S3-Buckets regelmäßig auf sensible Daten überprüft.

AWS Config

AWS Configprüft und zeichnet die Einhaltung der Vorschriften der AWS Ressourcen auf. AWS Config erkennt vorhandene AWS Ressourcen und generiert ein vollständiges Inventar zusammen mit den Konfigurationsdetails jeder Ressource. Wenn es Konfigurationsänderungen gibt, zeichnet es diese Änderungen auf und sendet eine Benachrichtigung. Dies kann Ihnen helfen, nicht autorisierte Infrastrukturänderungen zu erkennen und rückgängig zu machen. Sie können AWS verwaltete Regeln verwenden und benutzerdefinierte Regeln erstellen.

Im Folgenden finden Sie bewährte Methoden für die Konfiguration von detektivischen Kontrollen in AWS Config:

• Aktivieren Sie AWS-Region diese Option AWS Config für jedes Mitgliedskonto in der Organisation und für jedes Konto, das Ressourcen enthält, die Sie schützen möchten.

• Richten Sie Amazon Simple Notification Service (Amazon SNS)-Benachrichtigungen für alle Konfigurationsänderungen ein.

• Speichern Sie die Konfigurationsdaten in einem S3-Bucket und verwenden Sie Amazon Athena, um sie zu analysieren.

• Automatisieren Sie die Abhilfe nicht richtlinienkonformer Ressourcen mithilfe von Automation, einer Fähigkeit von AWS Systems Manager.

• Verwenden Sie EventBridge oder Amazon SNS, um Benachrichtigungen über nicht konforme AWS Ressourcen einzurichten.

Trusted Advisor

AWS Trusted Advisor kann als Service für detektivische Kontrollen genutzt werden. Trusted Advisor Identifiziert anhand einer Reihe von Prüfungen Bereiche, in denen Sie Ihre Infrastruktur optimieren, Leistung und Sicherheit verbessern oder Kosten senken können. Trusted Advisor bietet Empfehlungen auf der Grundlage AWS bewährter Verfahren, anhand derer Sie Ihre Dienste und Ressourcen verbessern können. Business- und Enterprise Support-Pläne bieten Zugriff auf alle verfügbaren Checks für die Säulen des AWS Well-Architected Framework.

Im Folgenden finden Sie bewährte Methoden für die Konfiguration von detektivischen Kontrollen in Trusted Advisor:

• Sehen Sie sich die Zusammenfassung der Prüfungsebenen an

• Implementieren Sie ressourcenspezifische Empfehlungen für Warn- und Fehlerstatus.

• Schauen Sie Trusted Advisor regelmäßig vorbei, um die Empfehlungen aktiv zu überprüfen und umzusetzen.

Amazon Inspector

Amazon Inspector ist ein automatisierter Schwachstellen-Management-Service, der nach seiner Aktivierung Ihre Workloads kontinuierlich auf unbeabsichtigte Netzwerkfreigabe und Software-Schwachstellen durchsucht. Dabei werden die Erkenntnisse zu einer Risikobewertung zusammengefasst, anhand derer Sie die nächsten Schritte festlegen können, z. B. die Behebung oder Bestätigung des Compliance-Status.

Im Folgenden finden Sie bewährte Methoden für die Konfiguration von detektivischen Kontrollen in Amazon Inspector:

• Aktivieren Sie Amazon Inspector für alle Konten und integrieren Sie es in einen EventBridge Security Hub, um Berichte und Benachrichtigungen für Sicherheitslücken zu konfigurieren.

• Priorisieren Sie Abhilfemaßnahmen und andere Maßnahmen auf der Grundlage der Amazon Inspector-Risikobewertung.

Geschäftsergebnisse

Weniger menschlicher Aufwand und Fehler

Sie können Automatisierung erreichen, indem Sie Infrastructure as Code (IaC) verwenden. Die Automatisierung der Bereitstellung und Konfiguration von Überwachungs- und Abhilfeservices und -tools verringert das Risiko manueller Fehler und reduziert den Zeit- und Arbeitsaufwand für die Skalierung dieser detektivischen Kontrollen. Die Automatisierung hilft bei der Entwicklung von Sicherheits-Runbooks und reduziert den manuellen Aufwand für Sicherheitsanalysten. Regelmäßige Überprüfungen helfen dabei, die Automatisierungstools zu optimieren und die Erkennungskontrollen kontinuierlich zu aktualisieren und zu verbessern.

Geeignete Maßnahmen gegen potenzielle Bedrohungen

Die Erfassung und Analyse von Ereignissen anhand von Protokollen und Metriken ist entscheidend, um Transparenz zu erlangen. Auf diese Weise können Analysten auf Sicherheitsereignisse und potenzielle Bedrohungen reagieren, um Ihre Workloads zu schützen. Da Analysten schnell erkennen können, welche Schwachstellen vorhanden sind, können sie geeignete Maßnahmen ergreifen, um diese zu beheben.

Bessere Reaktion auf Vorfälle und bessere Bearbeitung von Ermittlungen

Die Automatisierung von Tools für detektivische Kontrolle kann die Geschwindigkeit der Erkennung, Untersuchung und Wiederherstellung erhöhen. Automatisierte Warnmeldungen und Benachrichtigungen auf der Grundlage definierter Bedingungen ermöglichen es Sicherheitsanalysten, Nachforschungen anzustellen und angemessen zu reagieren. Diese Einflussfaktoren können Ihnen helfen, den Umfang anomaler Aktivitäten zu identifizieren und zu verstehen.