Detección como parte de la ingeniería de control de seguridad - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Detección como parte de la ingeniería de control de seguridad

Los mecanismos de detección son una parte integral del desarrollo del control de seguridad. A medida que se definen los controles directivos y preventivos, se deben construir los controles de detección y respuesta relacionados. Por ejemplo, una organización establece un control directivo relacionado con el usuario raíz de una cuenta de AWS, que solo debe usarse para actividades específicas y muy bien definidas. Lo asocia a un control preventivo implementado mediante la política de control de servicio (SCP) de una organización de AWS. Si la actividad del usuario raíz supera la línea de base esperada, un control de detección implementado con una regla de EventBridge y un tema de SNS alertará al centro de operaciones de seguridad (SOC). El control de respuesta implica que el SOC seleccione el manual de estrategias adecuado, lleve a cabo el análisis y trabaje hasta que se resuelva el incidente.

La mejor forma de definir los controles de seguridad es mediante el modelado de amenazas de las cargas de trabajo que se ejecutan en AWS. El nivel de gravedad de los controles de detección se determinará analizando el análisis del impacto empresarial (BIA) de cada carga de trabajo concreta. Las alertas generadas por los controles de detección no se gestionan a medida que se producen, sino que se basan en su nivel de gravedad inicial, que se ajustará durante el análisis. El nivel de gravedad inicial establecido ayuda a definir prioridades; el contexto en el que se haya producido la alerta determinará su verdadero nivel de gravedad. Por ejemplo, una organización utiliza Amazon GuardDuty como componente del control de detección que se utiliza para las instancias de EC2 que forman parte de una carga de trabajo. Se genera el resultado Impact:EC2/SuspiciousDomainRequest.Reputation y le informa de que la instancia de Amazon EC2 que aparece en la lista dentro de su carga de trabajo está consultando un nombre de dominio que se sospecha que es malicioso. Esta alerta se configuró de forma predeterminada como de gravedad baja y, a medida que avanzaba la fase de análisis, se determinó que un actor no autorizado había implementado varios cientos de instancias de EC2 del tipo p4d.24xlarge, lo que aumentó considerablemente los costos operativos de la organización. En este punto, el equipo de respuesta ante incidentes toma la decisión de ajustar el nivel de gravedad de esta alerta a alta, lo que aumenta la sensación de urgencia y agiliza las acciones futuras. Tenga en cuenta que la gravedad del resultado de GuardDuty no se puede cambiar.