Kontrol Detektif - AWS Bimbingan Preskriptif
TujuanProsesKasus penggunaanTeknologiHasil bisnis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Detektif

Kontrol Detektif adalah kontrol keamanan yang dirancang untuk mendeteksi, mencatat, dan memperingatkan setelah suatu peristiwa terjadi. Detective control adalah bagian dasar dari kerangka kerja tata kelola. Pagar pembatas ini adalah garis pertahanan kedua, memberi tahu Anda tentang masalah keamanan yang melewati kontrol pencegahan.

Misalnya, Anda mungkin menerapkan kontrol detektif yang mendeteksi dan memberi tahu Anda jika bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) dapat diakses publik. Meskipun Anda mungkin memiliki kontrol pencegahan yang menonaktifkan akses publik ke bucket S3 di tingkat akun dan kemudian menonaktifkan akses melalui SCP, aktor ancaman dapat menghindari kontrol pencegahan ini dengan masuk sebagai pengguna administratif. Dalam situasi ini, kontrol detektif dapat mengingatkan Anda tentang kesalahan konfigurasi dan potensi ancaman.

Tinjau hal-hal berikut tentang jenis kontrol ini:

Tujuan

  • Kontrol Detektif membantu Anda meningkatkan proses operasi keamanan dan proses kualitas.

  • Kontrol Detektif membantu Anda memenuhi kewajiban peraturan, hukum, atau kepatuhan.

  • Detective control menyediakan tim operasi keamanan dengan visibilitas untuk menanggapi masalah keamanan, termasuk ancaman lanjutan yang melewati kontrol pencegahan.

  • Kontrol detektif dapat membantu Anda mengidentifikasi respons yang tepat terhadap masalah keamanan dan potensi ancaman.

Proses

Anda menerapkan kontrol detektif yang diterapkan dalam dua fase. Pertama, Anda mengatur sistem untuk mencatat peristiwa dan status sumber daya ke lokasi terpusat, seperti Amazon CloudWatch Logs. Setelah pencatatan terpusat dilakukan, Anda menganalisis log tersebut untuk mendeteksi anomali yang mungkin mengindikasikan ancaman. Setiap analisis adalah kontrol yang dipetakan kembali ke persyaratan dan kebijakan awal Anda. Misalnya, Anda dapat membuat kontrol detektif yang mencari log untuk pola tertentu dan menghasilkan peringatan jika cocok. Kontrol Detektif digunakan oleh tim keamanan untuk meningkatkan visibilitas mereka secara keseluruhan terhadap ancaman dan risiko yang mungkin dihadapi sistem mereka.

Kasus penggunaan

Deteksi perilaku mencurigakan

Kontrol Detektif membantu mengidentifikasi aktivitas anomali apa pun, seperti kredensi pengguna istimewa yang dikompromikan atau akses ke atau eksfiltrasi data sensitif. Kontrol ini adalah faktor reaktif penting yang dapat membantu perusahaan Anda mengidentifikasi dan memahami ruang lingkup aktivitas anomali.

Deteksi penipuan

Kontrol ini membantu mendeteksi dan mengidentifikasi ancaman di dalam perusahaan Anda, seperti pengguna yang menghindari kebijakan dan melakukan transaksi yang tidak sah.

Kepatuhan

Kontrol Detektif membantu Anda memenuhi persyaratan kepatuhan, seperti Payment Card Industry Data Security Standard (PCI DSS), dan dapat membantu mencegah pencurian identitas. Kontrol ini dapat membantu Anda menemukan dan melindungi informasi sensitif yang tunduk pada kepatuhan terhadap peraturan, seperti informasi yang dapat diidentifikasi secara pribadi.

Analisis otomatis

Kontrol Detektif dapat secara otomatis menganalisis log untuk mendeteksi anomali dan indikator lain dari aktivitas yang tidak sah.

Anda dapat secara otomatis menganalisis log dari berbagai sumber seperti AWS CloudTrail log, Log Aliran VPC, dan log Sistem Nama Domain (DNS), untuk indikasi aktivitas yang berpotensi berbahaya. Untuk membantu organisasi, agregat peringatan keamanan atau temuan dari beberapa Layanan AWS ke lokasi terpusat.

Teknologi

Kontrol detektif umum adalah menerapkan satu atau lebih layanan pemantauan, yang dapat menganalisis sumber data, seperti log, untuk mengidentifikasi ancaman keamanan. Di dalamnya AWS Cloud, Anda dapat menganalisis sumber seperti AWS CloudTrail log, log akses Amazon S3, dan log aliran Amazon Virtual Private Cloud untuk membantu mendeteksi aktivitas yang tidak biasa. AWS Layanan keamanan, seperti Amazon GuardDuty, Amazon Detective AWS Security Hub, dan Amazon Macie memiliki fungsi pemantauan bawaan.

GuardDuty dan Security Hub

Amazon GuardDuty menggunakan intelijen ancaman, pembelajaran mesin, dan teknik deteksi anomali untuk terus memantau sumber log Anda untuk aktivitas berbahaya atau tidak sah. Dasbor memberikan wawasan tentang kesehatan waktu nyata Akun AWS dan beban kerja Anda. Anda dapat berintegrasi GuardDuty dengan AWS Security Hub, layanan manajemen postur keamanan cloud yang memeriksa kepatuhan terhadap praktik terbaik, mengumpulkan peringatan, dan memungkinkan remediasi otomatis. GuardDuty mengirimkan temuan ke Security Hub sebagai cara untuk memusatkan informasi. Anda dapat mengintegrasikan Security Hub lebih lanjut dengan solusi informasi keamanan dan manajemen acara (SIEM) untuk memperluas kemampuan pemantauan dan peringatan bagi organisasi Anda.

Macie

Amazon Macie adalah layanan keamanan data dan privasi data yang dikelola sepenuhnya yang menggunakan pembelajaran mesin dan pencocokan pola untuk membantu menemukan dan melindungi data sensitif. AWS Berikut ini adalah beberapa kontrol detektif dan fitur yang tersedia di Macie:

  • Macie memeriksa inventaris bucket dan semua objek yang disimpan di Amazon S3. Informasi ini dapat disajikan dalam satu tampilan dasbor, memberikan visibilitas dan membantu Anda mengevaluasi keamanan bucket.

  • Untuk menemukan data sensitif, Macie menggunakan pengidentifikasi data terkelola bawaan dan juga mendukung pengidentifikasi data khusus.

  • Macie terintegrasi secara native dengan alat dan lainnya Layanan AWS . Misalnya, Macie mengeluarkan temuan sebagai EventBridge peristiwa Amazon, yang secara otomatis dikirim ke Security Hub.

Berikut ini adalah praktik terbaik untuk mengonfigurasi kontrol detektif di Macie:

  • Aktifkan Macie di semua akun. Dengan menggunakan fitur manajemen yang didelegasikan, aktifkan Macie di beberapa akun dengan menggunakan. AWS Organizations

  • Gunakan Macie untuk mengevaluasi postur keamanan bucket S3 di akun Anda. Ini membantu mencegah kehilangan data dengan memberikan visibilitas ke lokasi dan akses data. Untuk informasi selengkapnya, lihat Menganalisis postur keamanan Amazon S3 Anda (dokumentasi Macie).

  • Otomatiskan penemuan data sensitif di bucket S3 Anda dengan menjalankan dan menjadwalkan pekerjaan pemrosesan dan penemuan data otomatis. Ini memeriksa bucket S3 untuk data sensitif pada jadwal reguler.

AWS Config

AWS Configmengaudit dan mencatat kepatuhan AWS sumber daya. AWS Config menemukan AWS sumber daya yang ada dan menghasilkan inventaris lengkap, bersama dengan detail konfigurasi setiap sumber daya. Jika ada perubahan konfigurasi, ia mencatat perubahan tersebut dan memberikan pemberitahuan. Ini dapat membantu Anda mendeteksi dan mengembalikan perubahan infrastruktur yang tidak sah. Anda dapat menggunakan aturan AWS terkelola dan dapat membuat aturan khusus.

Berikut ini adalah praktik terbaik untuk mengonfigurasi kontrol detektif di: AWS Config

  • Aktifkan AWS Config untuk setiap akun anggota di organisasi dan untuk masing-masing Wilayah AWS yang berisi sumber daya yang ingin Anda lindungi.

  • Siapkan peringatan Amazon Simple Notification Service (Amazon SNS) untuk setiap perubahan konfigurasi.

  • Simpan data konfigurasi dalam bucket S3 dan gunakan Amazon Athena untuk menganalisisnya.

  • Otomatiskan remediasi sumber daya yang tidak patuh dengan menggunakan Otomasi, kemampuan. AWS Systems Manager

  • Gunakan EventBridge atau Amazon SNS untuk menyiapkan notifikasi tentang sumber daya yang tidak AWS sesuai.

Trusted Advisor

AWS Trusted Advisordapat digunakan sebagai layanan untuk kontrol detektif. Melalui serangkaian pemeriksaan, Trusted Advisor mengidentifikasi area di mana Anda dapat mengoptimalkan infrastruktur Anda, meningkatkan kinerja dan keamanan, atau mengurangi biaya. Trusted Advisor memberikan rekomendasi berdasarkan praktik AWS terbaik yang dapat Anda ikuti untuk meningkatkan layanan dan sumber daya Anda. Paket Business and Enterprise Support menyediakan akses ke semua pemeriksaan yang tersedia untuk pilar AWS Well-Architected Framework.

Berikut ini adalah praktik terbaik untuk mengonfigurasi kontrol detektif di: Trusted Advisor

  • Tinjau ringkasan level cek

  • Menerapkan rekomendasi khusus sumber daya untuk peringatan dan status kesalahan.

  • Periksa Trusted Advisor sering untuk secara aktif meninjau dan menerapkan rekomendasinya.

Amazon Inspector

Amazon Inspector adalah layanan manajemen kerentanan otomatis yang, setelah diaktifkan, terus memindai beban kerja Anda untuk setiap eksposur jaringan atau kerentanan perangkat lunak yang tidak diinginkan. Ini mengontekstualisasikan temuan menjadi skor risiko yang dapat membantu Anda menentukan langkah selanjutnya, seperti memulihkan atau mengonfirmasi status kepatuhan.

Berikut ini adalah praktik terbaik untuk mengonfigurasi kontrol detektif di Amazon Inspector:

  • Aktifkan Amazon Inspector di semua akun dan integrasikan ke dalam EventBridge dan Security Hub untuk mengonfigurasi pelaporan dan pemberitahuan untuk kerentanan keamanan.

  • Prioritaskan remediasi dan tindakan lain berdasarkan skor risiko Amazon Inspector.

Hasil bisnis

Kurang upaya dan kesalahan manusia

Anda dapat mencapai otomatisasi dengan menggunakan infrastruktur sebagai kode (IAc). Mengotomatiskan penyebaran, konfigurasi layanan dan alat pemantauan dan remediasi mengurangi risiko kesalahan manual dan mengurangi jumlah waktu dan upaya yang diperlukan untuk mengukur kontrol detektif ini. Otomasi membantu pengembangan runbook keamanan dan mengurangi operasi manual untuk analis keamanan. Ulasan reguler membantu menyetel alat otomatisasi dan terus mengulangi dan meningkatkan kontrol detektif.

Tindakan yang tepat terhadap potensi ancaman

Menangkap dan menganalisis peristiwa dari log dan metrik sangat penting untuk mendapatkan visibilitas. Ini membantu analis bertindak atas peristiwa keamanan dan potensi ancaman untuk membantu mengamankan beban kerja Anda. Mampu dengan cepat mengidentifikasi kerentanan mana yang ada membantu analis mengambil tindakan yang tepat untuk mengatasi dan memperbaikinya.

Respon insiden dan penanganan investigasi yang lebih baik

Otomatisasi alat kontrol detektif dapat meningkatkan kecepatan deteksi, investigasi, dan pemulihan. Peringatan dan pemberitahuan otomatis berdasarkan kondisi yang ditentukan memungkinkan analis keamanan untuk menyelidiki dan merespons dengan tepat. Faktor-faktor responsif ini dapat membantu Anda mengidentifikasi dan memahami ruang lingkup aktivitas anomali.