Indicadores de eventos de seguridad en la nube - Guía de respuestas ante incidentes de seguridad de AWS

Indicadores de eventos de seguridad en la nube

Hay muchos eventos de seguridad que puede que no se clasifiquen como incidentes, pero que sería prudente investigar. Para detectar eventos relacionados con la seguridad en el entorno de la nube de AWS, puede usar estos mecanismos. Si bien no es una lista exhaustiva, tenga en cuenta los ejemplos siguientes de algunos indicadores potenciales:

  • Registros y monitores: revise los registros de AWS (como Amazon CloudTrail, los registros de acceso de Amazon S3 y los registros de flujo de VPC), así como los servicios de monitoreo de la seguridad (como Amazon GuardDuty, Amazon Detective, AWS Security Hub y Amazon Macie). Además, use monitores como las comprobaciones de estado de Amazon Route 53 y las alarmas de Amazon CloudWatch. Del mismo modo, use eventos de Windows, registros de syslog de Linux y otros registros específicos de aplicaciones que pueda generar en las aplicaciones e inicie sesión en Amazon CloudWatch mediante los agentes correspondientes.

  • Actividad de facturación: un cambio repentino en la actividad de facturación puede ser indicativo de un evento de seguridad.

  • Inteligencia de amenazas: si se suscribe a una fuente de inteligencia de amenazas de terceros, puede correlacionar esa información con otras herramientas de registro y supervisión para identificar posibles indicadores de eventos.

  • Herramientas de socios: los miembros de la Red de socios de AWS (APN) ofrecen cientos de productos líderes de la industria que pueden ayudar a cumplir los objetivos de seguridad. Para obtener más información, consulte Socios con competencia en seguridad de AWS y Soluciones de seguridad en AWS Marketplace.

  • Contacto por parte de AWS: AWS Support puede ponerse en contacto con usted en caso de identificar actividades abusivas o malintencionadas. Para obtener más información, consulte la sección Respuesta de AWS frente a abusos y riesgos.

  • Contacto único: dado que pueden ser sus clientes, sus desarrolladores u otro personal de su organización los que observen algo inusual, es importante contar con un método bien establecido y conocido por todos para ponerse en contacto con el equipo de seguridad. Entre las opciones más populares se incluyen los sistemas de tickets, direcciones de correo electrónico de contacto y formularios web. Si la organización trabaja con el público en general, puede que también necesite un mecanismo de contacto de seguridad orientado al público.

Una de las herramientas que AWS ofrece para la automatización y la detección es AWS Security Hub. Security Hub ofrece una visión integral de las alertas de seguridad de máxima prioridad y el estado de cumplimiento en todas las cuentas de AWS en un solo lugar, lo que permite una mayor visibilidad de estos indicadores. AWS Security Hub no es un software de administración de eventos e información de seguridad (SIEM) y no almacena datos de registro, sino que incorpora, organiza y prioriza las alertas de seguridad o los resultados de varios servicios de AWS. Security Hub también ofrece la posibilidad de crear información personalizada que puede provenir de varias fuentes. Esto proporciona al equipo de operaciones de seguridad diversas opciones y una mejor comprensión de la información cuando se produce un evento. Security Hub monitorea de manera continua su entorno mediante comprobaciones de cumplimiento automatizadas que se basan en las prácticas recomendadas de AWS y en los estándares de la industria que sigue su organización.

También puede tomar medidas como respuesta a estos resultados de seguridad y cumplimiento mediante su investigación en Amazon Detective o Amazon Athena o mediante el uso de reglas del bus de eventos o de Amazon CloudWatch Events para enviar los resultados a herramientas de tickets, chat, SIEM, automatización y respuesta de orquestación de seguridad (SOAR) y administración de incidentes o a los manuales de corrección de errores personalizados. La automatización basada en eventos permite responder de forma automática a los incidentes o eventos que se producen. Este enfoque cambia la seguridad y la forma en que se gestionan los eventos en la nube en comparación con los entornos locales.