Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erkennung als Teil der Sicherheitskontrolltechnik
Erkennungsmechanismen sind ein integraler Bestandteil der Entwicklung der Sicherheitskontrolle. Sobald Richtlinien und präventive Kontrollen definiert sind, sollten entsprechende detektive und reaktive Kontrollen eingeführt werden. Beispielsweise richtet eine Organisation eine Direktive für den Root-Benutzer eines AWS Kontos ein, die nur für bestimmte und sehr genau definierte Aktivitäten verwendet werden sollte. Sie verbinden sie mit einer präventiven Kontrolle, die mithilfe der Service Control Policy (SCP) einer AWS Organisation implementiert wird. Wenn Root-Benutzeraktivitäten über den erwarteten Basiswert hinausgehen, wird das Security Operations Center (SOC) durch eine detektive Kontrolle, die mit einer EventBridge Regel und einem SNS-Thema implementiert wurde, benachrichtigt. Bei der Reaktionssteuerung wählt das SOC das passende Playbook aus, führt Analysen durch und arbeitet, bis der Vorfall behoben ist.
Sicherheitskontrollen lassen sich am besten anhand der Bedrohungsmodellierung der Workloads definieren, in denen sie ausgeführt werden. AWS Die Wichtigkeit detektiver Kontrollen wird anhand der Business Impact Analysis (BIA) für die jeweilige Arbeitslast festgelegt. Durch detektivische Kontrollen ausgelöste Warnmeldungen werden nicht unmittelbar nach ihrem Eingang behandelt, sondern auf der Grundlage ihrer anfänglichen Kritikalität, die im Laufe der Analyse angepasst werden muss. Die Festlegung der anfänglichen Kritikalität dient als Hilfe bei der Priorisierung. Der Kontext, in dem die Warnung ausgelöst wurde, bestimmt ihre tatsächliche Kritikalität. Beispielsweise verwendet eine Organisation Amazon GuardDuty als Bestandteil der detektiven Kontrolle, die für EC2 Instances verwendet wird, die Teil eines Workloads sind. Das Ergebnis Impact:EC2/SuspiciousDomainRequest.Reputation wird generiert und informiert Sie darüber, dass die aufgelistete EC2 Amazon-Instance in Ihrem Workload einen Domainnamen abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Diese Warnung ist standardmäßig auf einen niedrigen Schweregrad eingestellt. Im Verlauf der Analysephase wurde festgestellt, dass mehrere hundert EC2 Instanzen dieses Typs von einem nicht autorisierten Akteur bereitgestellt p4d.24xlarge wurden, was die Betriebskosten des Unternehmens erheblich in die Höhe trieb. Zu diesem Zeitpunkt trifft das Incident-Response-Team die Entscheidung, die Kritikalität dieser Warnung auf hoch zu setzen, wodurch das Gefühl der Dringlichkeit verstärkt und weitere Maßnahmen beschleunigt werden. Beachten Sie, dass der Schweregrad des GuardDuty Befundes nicht geändert werden kann.
