SEC04-BP04 Avvio della riparazione delle risorse non conformi

I controlli investigativi possono segnalare la presenza di risorse non conformi ai requisiti di configurazione. È possibile avviare interventi correttivi definiti in modo programmatico, sia manualmente che automaticamente, per riparare queste risorse e contribuire a ridurre al minimo gli impatti potenziali. Quando definisci le correzioni in modo programmatico, puoi intraprendere azioni rapide e coerenti.

Sebbene l'automazione possa migliorare le operazioni di sicurezza, è necessario implementare e gestire l'automazione con attenzione.  Implementa meccanismi di supervisione e controllo appropriati per verificare che le risposte automatizzate siano efficaci, accurate e allineate alle policy organizzative e alla propensione al rischio.

Risultato desiderato: definizione degli standard di configurazione delle risorse e dei passaggi per la correzione delle risorse non conformi. Dove possibile, hai definito gli interventi correttivi in modo programmatico, affinché possano essere avviati manualmente o attraverso l'automazione. Sono disponibili sistemi di rilevamento per identificare le risorse non conformi e pubblicare avvisi in strumenti centralizzati monitorati dal personale di sicurezza. Questi strumenti supportano l'esecuzione degli interventi programmatici, manualmente o automaticamente. Le soluzioni automatiche dispongono di meccanismi di supervisione e controllo adeguati per regolarne l'utilizzo.

Anti-pattern comuni:

• L'automazione viene implementata, ma non si riescono a testare e convalidare a fondo le azioni correttive. Ciò può comportare conseguenze indesiderate, come l'interruzione delle operazioni aziendali legittime o l'instabilità del sistema.

• I tempi e le procedure di risposta vengono migliorati grazie all'automazione, ma senza un monitoraggio adeguato e senza meccanismi che consentano l'intervento umano e il giudizio quando necessario.

• Ci si affida esclusivamente agli interventi di riparazione, senza considerarli una parte di un programma più ampio di risposta agli incidenti e di ripristino.

Vantaggi della definizione di questa best practice: le soluzioni automatiche possono rispondere alle configurazioni errate più rapidamente rispetto ai processi manuali, il che aiuta a minimizzare i potenziali impatti aziendali e a ridurre la finestra di opportunità per usi non intenzionali. Quando si definiscono le correzioni in modo programmatico, queste vengono applicate in modo coerente, riducendo il rischio di errori umani. L'automazione è inoltre in grado di gestire un volume maggiore di avvisi contemporaneamente, il che è particolarmente importante negli ambienti che operano su larga scala.  

Livello di rischio associato alla mancata adozione di questa best practice: medio

Guida all'implementazione

Come descritto in SEC01-BP03 Identificazione e convalida degli obiettivi di controllo, i servizi come AWS Config possono aiutarti a monitorare la configurazione delle risorse nei tuoi account per verificare che soddisfino i tuoi requisiti.  Quando vengono rilevate risorse non conformi, si consiglia di configurare l'invio di avvisi a una soluzione di gestione della postura di sicurezza nel cloud (CSPM), ad esempio AWS Security Hub per facilitare la risoluzione. Queste soluzioni offrono agli investigatori della sicurezza il punto centrale per il monitoraggio dei problemi e l'adozione di misure correttive.

Mentre alcune situazioni di non conformità delle risorse sono uniche e richiedono un giudizio umano per essere risolte, altre situazioni hanno una risposta standard che si può definire in maniera programmatica. Ad esempio, una risposta standard a un gruppo di sicurezza VPC non correttamente configurato potrebbe essere la rimozione delle regole non consentite e la notifica al proprietario. Le risposte possono essere definite in funzioni AWS Lambda, documenti di AWS Systems Manager Automation o tramite altri ambienti di codice che preferisci. Assicurati che l'ambiente sia in grado di autenticarsi ad AWS utilizzando un ruolo IAM con il minor numero di autorizzazioni necessarie per intraprendere un'azione correttiva.

Una volta definita la correzione desiderata, è possibile determinare il mezzo preferito per avviarla. AWS Config può avviare le azioni correttive per tuo conto. Se stai utilizzando Security Hub, puoi farlo tramite azioni personalizzate, che pubblicano le informazioni di ricerca su Amazon EventBridge. Una regola EventBridge può quindi avviare la correzione. È possibile configurare l'azione personalizzata in Security Hub in modo che venga eseguita automaticamente o manualmente.  

Per la correzione programmatica, si consiglia di utilizzare registri e audit completi per le azioni intraprese e i relativi risultati. Rivedi e analizza questi registri per valutare l'efficacia dei processi automatizzati e identificare le aree di miglioramento. Acquisisci gli accessi Amazon CloudWatch Logs e i risultati delle correzioni come note in Security Hub.

Come punto di partenza, considera Automated Security Response su AWS, che dispone di soluzioni predefinite per risolvere le più comuni configurazioni errate della sicurezza.

Passaggi dell'implementazione

1. Analizza e assegna priorità agli avvisi.

   1. Consolida gli avvisi di sicurezza provenienti da vari servizi AWS in Security Hub per una visibilità, una definizione delle priorità e una correzione centralizzate.

2. Sviluppa soluzioni correttive.

   1. Utilizza servizi come Systems Manager e AWS Lambda per eseguire correzioni programmatiche.

3. Configura il modo in cui vengono avviate le correzioni.

   1. Utilizzando Systems Manager, definisci le azioni personalizzate che pubblicano i risultati su EventBridge. Configura queste azioni in modo che vengano avviate manualmente o automaticamente.

   2. Puoi anche utilizzare Amazon Simple Notification Service (SNS) per inviare notifiche e avvisi alle parti interessate (come il team di sicurezza o i team di risposta agli incidenti) per l'intervento manuale o l'escalation, se necessario.

4. Rivedi e analizza i log delle correzioni per verificarne l'efficacia e il miglioramento.

   1. Invia l'output del log a CloudWatch Logs. Acquisisci i risultati trovando note in Security Hub.

Risorse

Best practice correlate:

• SEC06-BP03 Riduzione della gestione manuale e dell'accesso interattivo

Documenti correlati:

• AWS Security Incident Response Guide - Detection

Esempi correlati:

• Risposta di sicurezza automatizzata su AWS

• Monitor EC2 instance key pairs using AWS Config

• Create AWS Config custom rules by using AWS CloudFormation Guard policies

• Automatically remediate unencrypted Amazon RDS DB instances and clusters

Strumenti correlati:

• AWS Systems Manager Automation

• Risposta di sicurezza automatizzata su AWS