SEC04-BP04 Inicio de correcciones para recursos no conformes

Sus controles de detección pueden alertarle sobre la presencia de recursos disconformes con sus requisitos de configuración. Puede iniciar soluciones definidas mediante programación, de forma manual o automática, para corregir estos recursos y ayudar a minimizar los posibles impactos. Al definir las correcciones mediante programación, puede tomar medidas rápidas y coherentes.

Si bien la automatización puede mejorar las operaciones de seguridad, debe implementarla y administrarla con cuidado.  Establezca mecanismos de supervisión y control adecuados para verificar que las respuestas automatizadas sean eficaces, precisas y estén alineadas con las políticas de la organización y la propensión al riesgo.

Resultado deseado: definir los estándares de configuración de recursos junto con los pasos para corregir las situaciones en las que se detecte que los recursos no cumplen los requisitos. Cuando sea posible, definir las medidas de corrección mediante programación para que puedan iniciarse de forma manual o automática. Disponer de sistemas de detección para identificar los recursos disconformes y publicar alertas en herramientas centralizadas y supervisadas por su personal de seguridad. Usar estas herramientas para ejecutar las correcciones programáticas, de forma manual o automática. Contar con mecanismos de supervisión y control adecuados en las correcciones automáticas para regular su uso.

Antipatrones usuales:

• Implementar la automatización, pero no verificar ni validar minuciosamente las acciones de corrección. Esto puede tener consecuencias imprevistas, como obstaculizar las operaciones empresariales legítimas o provocar inestabilidad en el sistema.

• Mejorar los tiempos de respuesta y los procedimientos mediante la automatización, pero sin contar con la supervisión y los mecanismos adecuados que permitan la intervención y la decisión de un humano en los casos necesarios.

• Confiar únicamente en las correcciones, en lugar de incluirlas como parte de un programa más amplio de respuesta y recuperación ante incidentes.

Beneficios de establecer esta práctica recomendada: las correcciones automáticas pueden reaccionar a los errores de configuración más rápido que los procesos manuales, lo que ayuda a minimizar los posibles impactos empresariales y a reducir la ventana de oportunidad para usos no deseados. Al definir las medidas de corrección mediante programación, se aplican de manera uniforme, lo que reduce el riesgo de errores humanos. La automatización también puede gestionar un mayor volumen de alertas simultáneamente, lo que resulta particularmente importante en entornos que funcionan a gran escala.  

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Como se describe en SEC01-BP03 Identificación y validación de los objetivos de control, servicios como AWS Config pueden ayudarle a supervisar la configuración de los recursos de sus cuentas para garantizar el cumplimiento de sus requisitos.  En caso de que se detecten recursos disconformes, le recomendamos que configure el envío de alertas a una solución de administración de la postura de seguridad en la nube (CSPM), por ejemplo AWS Security Hub, para facilitar la corrección. Estas soluciones proporcionan un punto central en el que los investigadores de seguridad puedan supervisar los problemas y tomar medidas correctivas.

Si bien algunas situaciones de recursos disconformes son únicas y requieren de juicio humano para corregirlas, otras situaciones requieren una respuesta estándar que se puede definir mediante programación. Por ejemplo, una respuesta estándar ante un error de configuración de un grupo de seguridad de VPC podría consistir en eliminar las reglas no permitidas y notificárselo al propietario. Las respuestas se pueden definir en funciones de AWS Lambda, documentos de AWS Systems Manager Automation o en otros entornos de código que prefiera. Asegúrese de que el entorno pueda autenticarse en AWS con un rol de IAM que tenga la cantidad mínima de permisos necesaria para tomar medidas correctivas.

Una vez que defina la corrección deseada, puede determinar el medio que prefiera para iniciarla. AWS Config puede iniciar las correcciones por usted. Si está utilizando Security Hub, puede hacer esto con acciones personalizadas, que publican la información de los resultados en Amazon EventBridge. A continuación, una regla de EventBridge puede iniciar la corrección. Puede configurar la acción personalizada en Security Hub para que se ejecute de forma automática o manual.  

En el caso de la corrección mediante programación, le recomendamos que disponga de registros y auditorías exhaustivos de las medidas adoptadas, así como de sus resultados. Revise y analice estos registros para evaluar la eficacia de los procesos automatizados e identificar las áreas de mejora. Refleje los registros en Amazon CloudWatch Logs y los resultados de las correcciones en las notas de resultados en Security Hub.

Como punto de partida, piense en utilizar la respuesta de seguridad automatizada en AWS, ya que cuenta con correcciones prediseñadas para resolver errores de configuración de seguridad comunes.

Pasos para la implementación

1. Analice y priorice las alertas.

   1. Unifique las alertas de seguridad de varios servicios de AWS en Security Hub para obtener una visibilidad, priorización y corrección centralizadas.

2. Desarrolle medidas de corrección.

   1. Utilice servicios como Systems Manager y AWS Lambda para ejecutar correcciones programáticas.

3. Configure cómo se inician las correcciones.

   1. Con Systems Manager, defina acciones personalizadas para publicar los resultados en EventBridge. Configure estas acciones para que se inicien manual o automáticamente.

   2. También puede usar Amazon Simple Notification Service (SNS) para enviar notificaciones y alertas a las partes interesadas pertinentes (como el equipo de seguridad o los equipos de respuesta a incidentes) para que intervengan manualmente o escalen el caso si es necesario.

4. Revise y analice los registros de corrección para comprobar su eficacia y mejora.

   1. Envíe la salida del registro a CloudWatch Logs. Refleje los resultados en las notas de resultados en Security Hub.

Recursos

Prácticas recomendadas relacionadas:

• SEC06-BP03 Reducción de la administración manual y el acceso interactivo

Documentos relacionados:

• AWS Security Incident Response Guide - Detection

Ejemplos relacionados:

• Automated Security Response on AWS

• Monitor EC2 instance key pairs using AWS Config

• Create AWS Config custom rules by using AWS CloudFormation Guard policies

• Automatically remediate unencrypted Amazon RDS DB instances and clusters

Herramientas relacionadas:

• AWS Systems Manager Automation

• Automated Security Response on AWS