Definisci la titolarità dei risultati di sicurezza - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Definisci la titolarità dei risultati di sicurezza

Definire un modello di proprietà per valutare i risultati in materia di sicurezza può essere difficile, ma non deve esserlo necessariamente. Il panorama della sicurezza cambia costantemente e gli operatori devono essere flessibili per adattarsi a questi cambiamenti. Adotta un approccio flessibile per sviluppare il tuo modello di proprietà ai fini della sicurezza. Il modello iniziale dovrebbe consentire ai team di agire immediatamente. Ti consigliamo di iniziare con una logica di proprietà di base e di perfezionarla nel tempo. Se si ritarda a definire i criteri di proprietà perfetti, il numero di risultati di sicurezza continuerà a crescere.

Per facilitare l'assegnazione dei risultati ai team e alle risorse appropriati, consigliamo l'integrazione AWS Security Hub con tutti i sistemi esistenti utilizzati dai team per gestire le attività quotidiane. Ad esempio, puoi integrare Security Hub con i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) o i sistemi di backlog e ticketing dei prodotti. Per ulteriori informazioni sul tagging, consulta Preparati ad assegnare i risultati di sicurezzain questa guida.

Di seguito è riportato un esempio di modello di proprietà che è possibile utilizzare come punto di partenza:

  • Il team addetto alla sicurezza esamina le minacce potenzialmente attive e aiuta a valutare e dare priorità ai risultati di sicurezza. Il team addetto alla sicurezza dispone delle competenze e degli strumenti per valutare correttamente il contesto. Conoscono i dati aggiuntivi relativi alla sicurezza che li aiutano a valutare e dare priorità alle vulnerabilità e a indagare sugli eventi di rilevamento delle minacce. Se è necessario determinare la gravità o eseguire ulteriori regolazioni, consulta la sezione di questa guida. Valuta e dai priorità ai risultati di sicurezza Per un esempio, Esempio di team di sicurezza consulta questa guida.

    Il team di sicurezza esamina i risultati di Security Hub tramite un sistema SIEM.

  • Distribuisci i risultati di sicurezza tra i team del cloud e quelli delle applicazioni: come illustrato nella Distribuisci la proprietà della sicurezza sezione, il team che ha accesso alla configurazione della risorsa è responsabile della sua configurazione sicura. I team applicativi sono responsabili dei risultati di sicurezza relativi alle risorse che creano e configurano, mentre il team cloud è responsabile dei risultati di sicurezza relativi alle configurazioni di ampia portata. Nella maggior parte dei casi, i team applicativi non hanno accesso a modificare configurazioni di ampia portata e AWS servizi, ad esempio, le policy di controllo dei servizi (SCP) AWS Control Tower, le configurazioni VPC AWS Organizations relative alla rete e IAM Identity Center.AWS

    Per gli ambienti con più account che separano le applicazioni in account dedicati, in genere è possibile integrare i risultati relativi alla sicurezza dell'account nel backlog o nel sistema di ticketing dell'applicazione. Da quel sistema, il team cloud o il team applicativo possono risolvere il problema. Per esempi, vedi Esempio di team cloud o Esempio di team applicativo in questa guida.

    ): I team dell'applicazione o del cloud risolvono i problemi di sicurezza di Security Hub tramite un backlog.

  • Assegna i risultati rimanenti e irrisolti al team cloud: i risultati residui potrebbero essere correlati alle impostazioni predefinite o a configurazioni di ampia portata che il team cloud può gestire. Questo team ha probabilmente le conoscenze e l'accesso più approfonditi sulla storia per risolvere il problema. Nel complesso, si tratta in genere di un sottoinsieme significativamente più piccolo dei risultati totali.