Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Il rilevamento come parte dell'ingegneria del controllo della sicurezza
I meccanismi di rilevamento sono parte integrante dello sviluppo del controllo della sicurezza. Una volta definiti i controlli direttivi e preventivi, è necessario costruire i relativi controlli investigativi e reattivi. Ad esempio, un'organizzazione stabilisce un controllo direttivo relativo all'utente root di un AWS account, che dovrebbe essere utilizzato solo per attività specifiche e ben definite. Lo associano a un controllo preventivo implementato utilizzando la politica di controllo dei servizi (SCP) di un' AWS organizzazione. Se si verifica un'attività dell'utente root oltre la linea di base prevista, un controllo investigativo implementato con una EventBridge regola e un argomento SNS avviserà il Security Operations Center (SOC). Il controllo reattivo prevede che il SOC selezioni il playbook appropriato, esegua l'analisi e lavori fino alla risoluzione dell'incidente.
Il modo migliore per definire i controlli di sicurezza è la modellazione delle minacce dei carichi di lavoro in esecuzione. AWS La criticità dei controlli investigativi verrà stabilita esaminando l'analisi dell'impatto aziendale (BIA) per il particolare carico di lavoro. Gli avvisi generati dai controlli investigativi non vengono gestiti man mano che arrivano, ma piuttosto in base alla loro criticità iniziale, per essere corretti durante l'analisi. Il set di criticità iniziale aiuta a stabilire le priorità; il contesto in cui si è verificato l'avviso determinerà la sua vera criticità. Ad esempio, un'organizzazione utilizza Amazon GuardDuty come componente del controllo investigativo utilizzato per EC2 le istanze che fanno parte di un carico di lavoro. Il risultato Impact:EC2/SuspiciousDomainRequest.Reputation viene generato e ti informa che l' EC2 istanza Amazon elencata nel tuo carico di lavoro sta interrogando un nome di dominio sospettato di essere dannoso. Questo avviso è impostato per impostazione predefinita a bassa gravità e, man mano che la fase di analisi procede, è stato stabilito che diverse centinaia di EC2 istanze di questo tipo sono p4d.24xlarge state implementate da un attore non autorizzato, con un aumento significativo dei costi operativi dell'organizzazione. A questo punto, il team di risposta agli incidenti decide di aumentare la criticità di questo avviso, aumentando il senso di urgenza e accelerando ulteriori azioni. Tieni presente che la gravità del GuardDuty rilevamento non può essere modificata.
