Controles de detección - AWS Guía prescriptiva
ObjetivosProcesoCasos de usoTecnologíaResultados empresariales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de detección

Los controles de detección son controles de seguridad que se han diseñado para detectar, registrar y alertar después de que se produzca un evento. Los controles de detección son una parte fundamental de los marcos de gobernanza. Estas barreras de protección son una segunda línea de defensa, ya que le notifican los problemas de seguridad que han eludido los controles preventivos.

Por ejemplo, puede aplicar un control de detección para detectar y notificar si un bucket de Amazon Simple Storage Service (Amazon S3) pasa a ser de acceso público. Si bien es posible que disponga de controles preventivos que inhabiliten el acceso público a los buckets de S3 a nivel de cuenta y, posteriormente, inhabiliten el acceso a través de las SCP, un agente de amenazas puede eludir estos controles preventivos si inicia sesión como usuario administrativo. En estas situaciones, un control de detección puede alertarlo sobre los errores de configuración y la posible amenaza.

Revise la siguiente información acerca de este tipo de controles:

Objetivos

  • Los controles de detección lo ayudan a mejorar los procesos de operaciones de seguridad y los procesos de calidad.

  • Los controles de detección lo ayudan a cumplir con las obligaciones reglamentarias, legales o de conformidad.

  • Los controles de detección ofrecen visibilidad a los equipos de operaciones de seguridad para responder a los problemas de seguridad, incluidas las amenazas avanzadas que eluden los controles preventivos.

  • Los controles de detección pueden ayudarlo a identificar la respuesta adecuada a los problemas de seguridad y las posibles amenazas.

Proceso

Los controles de detección se implementan en dos fases. En primer lugar, debe configurar el sistema para registrar los eventos y los estados de los recursos en una ubicación centralizada, como Amazon CloudWatch Logs. Una vez que se establece el registro centralizado, estos se analizan para detectar anomalías que puedan indicar una amenaza. Cada análisis es un control que se asigna a sus requisitos y políticas originales. Por ejemplo, puede crear un control de detección que busque un patrón específico en los registros y genere una alerta si coincide. Los equipos de seguridad utilizan los controles de detección para mejorar su visibilidad general de las amenazas y los riesgos a los que su sistema podría estar expuesto.

Casos de uso

Detección de comportamiento sospechoso

Los controles de detección ayudan a identificar cualquier actividad anómala, como credenciales de usuarios privilegiados comprometidas o el acceso o la fuga de datos confidenciales. Estos controles son factores reactivos importantes que pueden ayudar a su empresa a identificar y comprender el alcance de la actividad anómala.

Detección de fraude

Estos controles ayudan a detectar e identificar una amenaza dentro de la empresa, como un usuario que elude las políticas y realiza transacciones no autorizadas.

Conformidad

Los controles de detección ayudan a cumplir los requisitos de conformidad, como las Normas de seguridad de datos del sector de las tarjetas de pago (PCI DSS), y pueden ayudar a prevenir el robo de identidad. Estos controles pueden ayudarlo a descubrir y proteger la información confidencial que se encuentra sujeta a la conformidad normativa, como la información de identificación personal.

Análisis automatizado

Los controles de detección pueden analizar de forma automática los registros para detectar anomalías y otros indicadores de actividad no autorizada.

Puede analizar de forma automática los registros de diferentes orígenes, como registros de AWS CloudTrail , Registro de flujo de la VPC y registros del sistema de nombres de dominio (DNS) para indicar una actividad potencialmente maliciosa. Para facilitar la organización, agrupe las alertas de seguridad o los hallazgos de varias Servicios de AWS ubicaciones en una ubicación centralizada.

Tecnología

Un control de detección habitual consiste en implementar uno o más servicios de monitoreo, que pueden analizar los orígenes de datos, como los registros, para identificar las amenazas de seguridad. En el Nube de AWS, puede analizar fuentes como AWS CloudTrail los registros, los registros de acceso a Amazon S3 y los registros de flujo de Amazon Virtual Private Cloud para ayudar a detectar actividades inusuales. AWS los servicios de seguridad, como Amazon GuardDuty, Amazon Detective y Amazon Macie AWS Security Hub, tienen funcionalidades de monitoreo integradas.

GuardDuty y Security Hub

Amazon GuardDuty utiliza técnicas de inteligencia de amenazas, aprendizaje automático y detección de anomalías para supervisar continuamente las fuentes de registro en busca de actividades maliciosas o no autorizadas. El panel de control proporciona información sobre su estado Cuentas de AWS y el de sus cargas de trabajo en tiempo real. Puede integrarlo GuardDuty con AWS Security Hubun servicio de gestión del estado de seguridad en la nube que comprueba el cumplimiento de las mejores prácticas, agrega alertas y permite la corrección automática. GuardDuty envía los resultados a Security Hub como una forma de centralizar la información. Puede integrar aún más Security Hub con las soluciones de administración de eventos e información de seguridad (SIEM) para ampliar las capacidades de monitoreo y alerta de su organización.

Macie

Amazon Macie es un servicio de privacidad y seguridad de datos completamente administrado que utiliza machine learning y coincidencia de patrones para ayudar a descubrir y proteger los datos confidenciales en AWS. Las siguientes son algunas de las características y controles de detección disponibles en Macie:

  • Macie inspecciona el inventario de bucket y todos los objetos almacenados en Amazon S3. Esta información se puede presentar en una única vista de panel, lo que brinda visibilidad y lo ayuda a evaluar la seguridad de los buckets.

  • Para descubrir datos confidenciales, Macie utiliza identificadores de datos administrados e integrados y también admite identificadores de datos personalizados.

  • Macie se integra de forma nativa con otras Servicios de AWS herramientas. Por ejemplo, Macie publica las conclusiones como EventBridge eventos de Amazon, que se envían automáticamente a Security Hub.

Las siguientes son prácticas recomendadas para configurar los controles de detección en Macie:

  • Habilite Macie en todas las cuentas. Al utilizar la característica de administración delegada, habilite a Macie en varias cuentas mediante AWS Organizations.

  • Utilice Macie para evaluar la posición de seguridad de los buckets de S3 de sus cuentas. Esto ayuda a evitar la pérdida de datos y brinda visibilidad de la ubicación y el acceso a los datos. Para obtener más información, consulte Análisis de su posición de seguridad de Amazon S3 (documentación de Macie).

  • Automatice la detección de datos confidenciales en sus buckets de S3 al ejecutar y programar tareas automatizadas de procesamiento y descubrimiento de datos. Esto inspecciona los buckets de S3 en busca de datos confidenciales de forma periódica.

AWS Config

AWS Configaudita y registra el cumplimiento de los AWS recursos. AWS Config descubre AWS los recursos existentes y genera un inventario completo, junto con los detalles de configuración de cada recurso. Si hay algún cambio en la configuración, registra esos cambios y envía una notificación. Esto puede ayudarlo a detectar y revertir los cambios de infraestructura no autorizados. Puede usar reglas AWS administradas y puede crear reglas personalizadas.

Las siguientes son prácticas recomendadas para configurar los controles de detección en AWS Config:

  • AWS Config Actívela para cada cuenta de miembro de la organización y para cada una de las cuentas Región de AWS que contengan los recursos que desee proteger.

  • Configure las alertas de Amazon Simple Notification Service (Amazon SNS) para cualquier cambio de configuración.

  • Guarde los datos de configuración en un bucket de S3 y utilice Amazon Athena para analizarlos.

  • Automatice la corrección de los recursos no conformes mediante el uso de la Automatización, una capacidad de AWS Systems Manager.

  • Utilice EventBridge Amazon SNS para configurar notificaciones sobre recursos no AWS conformes.

Trusted Advisor

Se puede utilizar AWS Trusted Advisor como un servicio para los controles de detección. Mediante un conjunto de comprobaciones, Trusted Advisor identifica las áreas en las que puede optimizar su infraestructura, mejorar el rendimiento y la seguridad o reducir los costos. Trusted Advisor proporciona recomendaciones basadas en las AWS mejores prácticas que puede seguir para mejorar sus servicios y recursos. Los planes Business y Enterprise Support proporcionan acceso a todas las comprobaciones disponibles para los pilares del AWS Well-Architected Framework.

Las siguientes son prácticas recomendadas para configurar los controles de detección en Trusted Advisor:

  • Analice el resumen del nivel de comprobación.

  • Implemente recomendaciones específicas de recursos para los estados de advertencia y error.

  • Trusted Advisor Compruébelo con frecuencia para revisar e implementar activamente sus recomendaciones.

Amazon Inspector

Amazon Inspector es un servicio automatizado de administración de vulnerabilidades que, después de habilitarse, analiza de forma continua las cargas de trabajo en busca de cualquier exposición de la red no deseada o vulnerabilidades de software. Contextualiza los resultados en una puntuación de riesgo que puede ayudarlo a determinar los próximos pasos, como corregir o confirmar el estado de conformidad.

Las siguientes son prácticas recomendadas para configurar los controles de detección en Amazon Inspector:

  • Active Amazon Inspector en todas las cuentas e intégrelo en EventBridge un Security Hub para configurar los informes y las notificaciones de las vulnerabilidades de seguridad.

  • Priorice las correcciones y otras medidas en función de la puntuación de riesgo de Amazon Inspector.

Resultados empresariales

Menos errores y esfuerzo humano

Puede lograr la automatización mediante el uso de la infraestructura como código (IaC). La automatización de la implementación y la configuración de los servicios y herramientas de monitoreo y corrección reduce el riesgo de errores manuales y la cantidad de tiempo y esfuerzo necesarios para escalar estos controles de detección. La automatización ayuda a desarrollar manuales de procedimientos de seguridad y reduce las operaciones manuales para los analistas de seguridad. Las revisiones periódicas ayudan a ajustar las herramientas de automatización y a iterar y mejorar los controles de detección de forma continua.

Medidas adecuadas contra las posibles amenazas

Registrar y analizar los eventos a partir de registros y métricas es fundamental para ganar visibilidad. Esto ayuda a los analistas a actuar ante los eventos de seguridad y las posibles amenazas para proteger las cargas de trabajo. La capacidad de identificar las vulnerabilidades que existen con rapidez ayuda a los analistas a tomar las medidas adecuadas para abordarlas y solucionarlas.

Mejor respuesta a incidentes y gestión de la investigación

La automatización de las herramientas de control de detección puede aumentar la velocidad de detección, investigación y recuperación. Las alertas y notificaciones automatizadas basadas en condiciones definidas permiten a los analistas de seguridad investigar y responder de manera adecuada. Estos factores de respuesta pueden ayudarlo a identificar y comprender el alcance de la actividad anómala.