SEC04-BP04 Inicio de correcciones para recursos no conformes
Sus controles de detección pueden alertarle sobre la presencia de recursos disconformes con sus requisitos de configuración. Puede iniciar soluciones definidas mediante programación, de forma manual o automática, para corregir estos recursos y ayudar a minimizar los posibles impactos. Al definir las correcciones mediante programación, puede tomar medidas rápidas y coherentes.
Si bien la automatización puede mejorar las operaciones de seguridad, debe implementarla y administrarla con cuidado. Establezca mecanismos de supervisión y control adecuados para verificar que las respuestas automatizadas sean eficaces, precisas y estén alineadas con las políticas de la organización y la propensión al riesgo.
Resultado deseado: definir los estándares de configuración de recursos junto con los pasos para corregir las situaciones en las que se detecte que los recursos no cumplen los requisitos. Cuando sea posible, definir las medidas de corrección mediante programación para que puedan iniciarse de forma manual o automática. Disponer de sistemas de detección para identificar los recursos disconformes y publicar alertas en herramientas centralizadas y supervisadas por su personal de seguridad. Usar estas herramientas para ejecutar las correcciones programáticas, de forma manual o automática. Contar con mecanismos de supervisión y control adecuados en las correcciones automáticas para regular su uso.
Antipatrones usuales:
-
Implementar la automatización, pero no verificar ni validar minuciosamente las acciones de corrección. Esto puede tener consecuencias imprevistas, como obstaculizar las operaciones empresariales legítimas o provocar inestabilidad en el sistema.
-
Mejorar los tiempos de respuesta y los procedimientos mediante la automatización, pero sin contar con la supervisión y los mecanismos adecuados que permitan la intervención y la decisión de un humano en los casos necesarios.
-
Confiar únicamente en las correcciones, en lugar de incluirlas como parte de un programa más amplio de respuesta y recuperación ante incidentes.
Beneficios de establecer esta práctica recomendada: las correcciones automáticas pueden reaccionar a los errores de configuración más rápido que los procesos manuales, lo que ayuda a minimizar los posibles impactos empresariales y a reducir la ventana de oportunidad para usos no deseados. Al definir las medidas de corrección mediante programación, se aplican de manera uniforme, lo que reduce el riesgo de errores humanos. La automatización también puede gestionar un mayor volumen de alertas simultáneamente, lo que resulta particularmente importante en entornos que funcionan a gran escala.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio
Guía para la implementación
Como se describe en SEC01-BP03 Identificación y validación de los objetivos de control, servicios como AWS Config
Si bien algunas situaciones de recursos disconformes son únicas y requieren de juicio humano para corregirlas, otras situaciones requieren una respuesta estándar que se puede definir mediante programación. Por ejemplo, una respuesta estándar ante un error de configuración de un grupo de seguridad de VPC podría consistir en eliminar las reglas no permitidas y notificárselo al propietario. Las respuestas se pueden definir en funciones de AWS Lambda
Una vez que defina la corrección deseada, puede determinar el medio que prefiera para iniciarla. AWS Config puede iniciar las correcciones por usted. Si está utilizando Security Hub, puede hacer esto con acciones personalizadas, que publican la información de los resultados en Amazon EventBridge
En el caso de la corrección mediante programación, le recomendamos que disponga de registros y auditorías exhaustivos de las medidas adoptadas, así como de sus resultados. Revise y analice estos registros para evaluar la eficacia de los procesos automatizados e identificar las áreas de mejora. Refleje los registros en Amazon CloudWatch Logs y los resultados de las correcciones en las notas de resultados en Security Hub.
Como punto de partida, piense en utilizar la respuesta de seguridad automatizada en AWS
Pasos para la implementación
-
Analice y priorice las alertas.
-
Unifique las alertas de seguridad de varios servicios de AWS en Security Hub para obtener una visibilidad, priorización y corrección centralizadas.
-
-
Desarrolle medidas de corrección.
-
Utilice servicios como Systems Manager y AWS Lambda para ejecutar correcciones programáticas.
-
-
Configure cómo se inician las correcciones.
-
Con Systems Manager, defina acciones personalizadas para publicar los resultados en EventBridge. Configure estas acciones para que se inicien manual o automáticamente.
-
También puede usar Amazon Simple Notification Service (SNS)
para enviar notificaciones y alertas a las partes interesadas pertinentes (como el equipo de seguridad o los equipos de respuesta a incidentes) para que intervengan manualmente o escalen el caso si es necesario.
-
-
Revise y analice los registros de corrección para comprobar su eficacia y mejora.
-
Envíe la salida del registro a CloudWatch Logs. Refleje los resultados en las notas de resultados en Security Hub.
-
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
Ejemplos relacionados:
Herramientas relacionadas: