SEC04-BP04 Mulai remediasi untuk sumber daya yang tidak mematuhi persyaratan

Kontrol deteksi Anda mungkin memberikan peringatan tentang sumber daya yang tidak mematuhi persyaratan konfigurasi Anda. Anda dapat memulai remediasi yang ditentukan secara programatis, baik secara manual maupun otomatis, untuk melakukan remediasi terhadap berbagai sumber daya ini dan membantu meminimalkan potensi dampaknya. Ketika Anda menentukan remediasi secara programatis, Anda dapat mengambil tindakan yang cepat dan konsisten.

Meskipun otomatisasi dapat meningkatkan operasi keamanan, Anda harus mengimplementasikan dan mengelola otomatisasi dengan hati-hati.  Terapkan mekanisme pengawasan dan kontrol yang tepat untuk memverifikasi bahwa respons otomatis efektif, akurat, dan selaras dengan kebijakan organisasi dan tingkat risiko yang dapat diterima.

Hasil yang diinginkan: Anda menentukan standar konfigurasi sumber daya bersama dengan langkah-langkah untuk melakukan remediasi ketika sumber daya terdeteksi tidak mematuhi persyaratan. Jika memungkinkan, Anda telah menentukan remediasi secara programatis sehingga remediasi ini dapat dimulai baik secara manual maupun melalui otomatisasi. Sistem deteksi tersedia untuk mengidentifikasi sumber daya yang tidak mematuhi persyaratan dan memublikasikan peringatan ke alat-alat terpusat yang dipantau oleh personel keamanan Anda. Dengan alat-alat ini, remediasi programatis Anda dapat dijalankan, baik secara manual maupun otomatis. Remediasi otomatis memiliki mekanisme pengawasan dan kontrol yang tepat untuk mengatur penggunaannya.

Antipola umum:

• Anda mengimplementasikan otomatisasi, tetapi gagal menguji dan memvalidasi tindakan remediasi secara menyeluruh. Hal ini dapat mengakibatkan konsekuensi yang tidak diinginkan, seperti mengganggu operasi bisnis yang sah atau menyebabkan ketidakstabilan sistem.

• Anda mengoptimalkan waktu dan prosedur respons melalui otomatisasi, tetapi tanpa pemantauan dan mekanisme tepat yang memungkinkan intervensi dan penilaian manusia saat diperlukan.

• Anda hanya mengandalkan remediasi, bukannya memiliki remediasi sebagai salah satu bagian dari program respons dan pemulihan insiden yang lebih luas.

Manfaat menjalankan praktik terbaik ini: Remediasi otomatis dapat merespons kesalahan konfigurasi lebih cepat daripada proses manual, sehingga membantu Anda meminimalkan potensi dampak bisnis dan mengurangi peluang untuk penggunaan yang tidak diinginkan. Ketika Anda menentukan remediasi secara programatis, remediasi ini diterapkan secara konsisten, sehingga mengurangi risiko kesalahan manusia. Otomatisasi juga dapat menangani volume peringatan yang lebih besar secara bersamaan, yang sangat penting di lingkungan yang beroperasi dalam skala besar.  

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Seperti yang dijelaskan dalam SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol, layanan seperti AWS Config dapat membantu Anda memantau konfigurasi sumber daya di akun Anda untuk menentukan kepatuhannya terhadap persyaratan Anda.  Ketika sumber daya yang tidak mematuhi persyaratan terdeteksi, sebaiknya Anda mengonfigurasi pengiriman peringatan ke solusi manajemen postur keamanan cloud (CSPM), seperti AWS Security Hub, untuk membantu remediasi. Solusi ini menyediakan tempat terpusat bagi penyelidik keamanan Anda untuk memantau masalah dan mengambil tindakan korektif.

Meskipun beberapa situasi sumber daya yang tidak mematuhi persyaratan bersifat unik dan memerlukan penilaian manusia untuk diremediasi, situasi lainnya memiliki respons standar yang dapat Anda tentukan secara programatis. Misalnya, respons standar terhadap grup keamanan VPC yang salah dikonfigurasi dapat berupa menghapus aturan yang tidak diizinkan dan memberi tahu pemiliknya. Respons dapat ditentukan dalam fungsi AWS Lambda, dokumen Otomatisasi AWS Systems Manager, atau melalui lingkungan kode lain pilihan Anda. Pastikan lingkungan tersebut dapat mengautentikasi ke AWS menggunakan peran IAM dengan jumlah izin minimal yang diperlukan untuk mengambil tindakan korektif.

Setelah menentukan remediasi yang diinginkan, Anda kemudian dapat menentukan cara yang Anda pilih untuk memulainya. AWS Config dapat memulai remediasi untuk Anda. Jika Anda menggunakan Security Hub, Anda dapat melakukannya melalui tindakan kustom, yang memublikasikan informasi temuan ke Amazon EventBridge. Aturan EventBridge kemudian dapat memulai remediasi Anda. Anda dapat mengonfigurasi tindakan kustom di Security Hub untuk dijalankan secara otomatis atau manual.  

Untuk remediasi programatis, sebaiknya Anda memiliki log dan audit komprehensif untuk tindakan yang diambil, serta hasilnya. Tinjau dan analisis log ini untuk menilai efektivitas proses otomatis, dan mengidentifikasi masalah yang perlu diperbaiki. Catat log di Amazon CloudWatch Logs dan hasil remediasi sebagai catatan temuan di Security Hub.

Sebagai titik awal, pertimbangkan Respons Keamanan Otomatis di AWS, yang memiliki remediasi bawaan untuk mengatasi kesalahan konfigurasi keamanan umum.

Langkah implementasi

1. Analisis dan prioritaskan peringatan.

   1. Konsolidasikan peringatan keamanan dari berbagai layanan AWS ke dalam Security Hub untuk visibilitas, prioritas, dan remediasi terpusat.

2. Kembangkan remediasi.

   1. Gunakan layanan seperti Systems Manager dan AWS Lambda untuk menjalankan remediasi programatis.

3. Konfigurasikan cara remediasi dimulai.

   1. Menggunakan Systems Manager, tentukan tindakan kustom yang memublikasikan temuan ke EventBridge. Konfigurasikan tindakan ini untuk dimulai secara manual atau otomatis.

   2. Anda juga dapat menggunakan Amazon Simple Notification Service (SNS) untuk mengirim notifikasi dan peringatan kepada para pemangku kepentingan yang relevan (seperti tim keamanan atau tim respons insiden) guna melakukan intervensi manual atau eskalasi, jika diperlukan.

4. Tinjau dan analisis log remediasi untuk menentukan efektivitas dan peningkatan.

   1. Kirim output log ke CloudWatch Logs. Catat hasil sebagai catatan temuan di Security Hub.

Sumber daya

Praktik terbaik terkait:

• SEC06-BP03 Kurangi manajemen manual dan akses interaktif

Dokumen terkait:

• Panduan Respons Insiden Keamanan AWS - Deteksi

Contoh terkait:

• Respons Keamanan Otomatis di AWS

• Pantau pasangan kunci instans EC2 menggunakan AWS Config

• Buat aturan kustom AWS Config menggunakan kebijakan AWS CloudFormation Guard

• Lakukan remediasi secara otomatis terhadap instans dan klaster DB Amazon RDS yang tidak terenkripsi

Alat terkait:

• Otomatisasi AWS Systems Manager

• Respons Keamanan Otomatis di AWS