SEC04-BP04 Inicio de correcciones para recursos no conformes

Sus controles de detección pueden alertarle sobre la presencia de recursos no conformes con sus requisitos de configuración. Puede iniciar soluciones definidas mediante programación, de forma manual o automática, para corregir estos recursos y ayudar a minimizar los posibles impactos. Al definir las correcciones mediante programación, puede tomar medidas rápidas y coherentes.

Si bien la automatización puede mejorar las operaciones de seguridad, debe implementarla y administrarla con cuidado.  Establezca mecanismos de supervisión y control adecuados para verificar que las respuestas automatizadas sean eficaces, precisas y estén alineadas con las políticas de la organización y la propensión al riesgo.

Resultado deseado: defina los estándares de configuración de los recursos junto con los pasos para corregir las situaciones en las que se detecte que los recursos no cumplen los requisitos. Cuando sea posible, defina las medidas de corrección mediante programación para que puedan iniciarse de forma manual o automática. Dispone de sistemas de detección para identificar los recursos disconformes y publica alertas en herramientas centralizadas y supervisadas por su personal de seguridad. Usa estas herramientas para ejecutar las correcciones programáticas, de forma manual o automática. Dispone de mecanismos de supervisión y control adecuados en las correcciones automáticas para regular su uso.

Patrones comunes de uso no recomendados:

• Implementar la automatización, pero no verificar ni validar minuciosamente las acciones de corrección. Esto puede tener consecuencias imprevistas, como obstaculizar las operaciones empresariales legítimas o provocar inestabilidad en el sistema.

• Mejorar los tiempos de respuesta y los procedimientos mediante la automatización, pero sin contar con la supervisión y los mecanismos adecuados que permitan la intervención y la decisión de un humano en los casos necesarios.

• Confiar únicamente en las correcciones, en lugar de incluirlas como parte de un programa más amplio de respuesta y recuperación ante incidentes.

Beneficios de establecer esta práctica recomendada: las correcciones automáticas pueden responder a los errores de configuración con mayor rapidez que los procesos manuales, lo que ayuda a minimizar los posibles impactos empresariales, así como a reducir las oportunidades de usos no previstos. Cuando define las correcciones mediante programación, se aplican de forma coherente, lo que reduce el riesgo de error humano. La automatización también puede gestionar un mayor volumen de alertas simultáneamente, lo que resulta particularmente importante en entornos que funcionan a gran escala.  

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Tal como se describe en SEC01-BP03 Identificación y validación de los objetivos de control, servicios como AWS Config pueden ayudarle a supervisar la configuración de los recursos de sus cuentas para garantizar el cumplimiento de sus requisitos.  En caso de que se detecten recursos disconformes, le recomendamos que configure el envío de alertas a una solución de administración de posición de seguridad (CSPM) en la nube, como, por ejemplo, AWS Security Hub, para facilitar la corrección. Estas soluciones proporcionan un punto central en el que los investigadores de seguridad puedan supervisar los problemas y tomar medidas correctivas.

Si bien algunas situaciones de recursos disconformes son únicas y requieren de juicio humano para corregirlas, otras situaciones requieren una respuesta estándar que se puede definir mediante programación. Por ejemplo, una respuesta estándar ante un error de configuración de un grupo de seguridad de VPC podría consistir en eliminar las reglas no permitidas y notificárselo al propietario. Las respuestas se pueden definir en funciones de AWS Lambda, documentos de Automatización de AWS Systems Manager o mediante otros entornos de código que prefiera. Asegúrese de que el entorno pueda autenticarse en AWS con un rol de IAM que tenga la cantidad mínima de permisos necesaria para tomar medidas correctivas.

Una vez que haya definido la corrección deseada, podrá determinar el medio que prefiera para iniciarla. AWS Config puede iniciar las correcciones. Si utiliza Security Hub, puede hacerlo con acciones personalizadas, que publican la información de búsqueda en Amazon EventBridge. A continuación, una regla de EventBridge puede iniciar la corrección. Puede configurar la acción personalizada en Security Hub para que se ejecute de forma automática o manual.  

En el caso de corrección mediante programación, le recomendamos que disponga de registros y auditorías exhaustivos de las medidas adoptadas, así como de sus resultados. Revise y analice estos registros para evaluar la eficacia de los procesos automatizados e identificar las áreas de mejora. Capture los registros en Registros de Amazon CloudWatch y los resultados de las correcciones como notas de resultados en Security Hub.

Como punto de partida, considere la posibilidad de utilizar la Respuesta de seguridad automatizada en AWS, que cuenta con soluciones de corrección prediseñadas para resolver los errores de configuración de seguridad más comunes.

Pasos para la implementación

1. Analice y priorice las alertas.

   1. Unifique las alertas de seguridad de varios servicios de AWS en Security Hub para obtener una visibilidad, priorización y corrección centralizadas.

2. Desarrolle medidas de corrección.

   1. Utilice servicios como Systems Manager y AWS Lambda para ejecutar correcciones programáticas.

3. Configure cómo se inician las correcciones.

   1. Con Systems Manager, defina acciones personalizadas para publicar los resultados en EventBridge. Configure estas acciones para que se inicien manual o automáticamente.

   2. También puede usar Amazon Simple Notification Service (SNS) para enviar notificaciones y alertas a las partes interesadas pertinentes (como el equipo de seguridad o los equipos de respuesta a incidentes) para que intervengan manualmente o escalen el problema si es necesario.

4. Revise y analice los registros de corrección para comprobar su eficacia y mejora.

   1. Envíe la salida del registro a Registros de CloudWatch. Refleje los resultados en las notas de resultados en Security Hub.

Recursos

Prácticas recomendadas relacionadas:

• SEC06-BP03 Reducción de la administración manual y el acceso interactivo

Documentos relacionados:

• AWS Security Incident Response Guide - Detection

Ejemplos relacionados:

• Respuesta de seguridad automatizada en AWS

• Monitor EC2 instance key pairs using AWS Config

• Create AWS Config custom rules by using AWS CloudFormation Guard policies

• Automatically remediate unencrypted Amazon RDS DB instances and clusters

Herramientas relacionadas:

• AWS Systems Manager Automation

• Respuesta de seguridad automatizada en AWS