Rilevamento
Il rilevamento consiste in due parti: rilevamento di modifiche della configurazione inattese o non desiderate e il rilevamento di comportamenti inattesi. Il primo può verificarsi in più luoghi in un ciclo di vita di distribuzione dell'applicazione. Utilizzando l'infrastruttura come codice (ad esempio, un modello CloudFormation), puoi verificare una configurazione non desiderata prima della distribuzione di un carico di lavoro implementando verifiche nelle pipeline CI/CD o nel controllo delle origini. Quindi, mentre distribuisci un carico di lavoro in ambienti di produzione e non di produzione, puoi verificare la configurazione tramite strumenti AWS nativi, open source o AWS Partner. Queste verifiche possono essere effettuate per le configurazioni che non rispettano i principi o le best practice di sicurezza o per le modifiche apportate tra il test e la distribuzione della configurazione. Per un'applicazione in esecuzione puoi verificare se la configurazione è stata modificata in modo inaspettato, al di fuori di una distribuzione nota o durante un evento di dimensionamento automatizzato.
Per la seconda parte del rilevamento, quello relativo a un comportamento inaspettato, possiamo usare strumenti o impostare un avviso al verificarsi di un aumento di un tipo particolare di chiamata API. Con Amazon GuardDuty, puoi essere avvisato se un'attività inaspettata e potenzialmente non autorizzata o dannosa si verifica all'interno dei tuoi account AWS. Devi anche monitorare in modo esplicito le chiamate API mutanti che non ti aspetti vengano utilizzate nel tuo carico di lavoro e le chiamate API che modificano l'assetto di sicurezza.
Il rilevamento consente di identificare un potenziale errore di configurazione della sicurezza, una minaccia o un comportamento imprevisto. È un aspetto fondamentale del ciclo di vita della sicurezza e può essere utilizzato per supportare un processo di qualità, un obbligo legale o di conformità, nonché per identificare e rispondere alle minacce. Esistono diversi tipi di meccanismi di rilevamento. Ad esempio, si possono analizzare i log del carico di lavoro per individuare gli exploit utilizzati. Devi esaminare regolarmente i meccanismi di rilevamento correlati al carico di lavoro per assicurarti di soddisfare le policy e i requisiti interni ed esterni. Gli avvisi e le notifiche automatizzati devono basarsi su condizioni definite per consentire ai team o agli strumenti di eseguire l'analisi. Questi meccanismi sono importanti fattori di reazione che possono aiutare l'organizzazione a identificare e comprendere l'ambito delle attività anomale.
In AWS, è possibile utilizzare diversi approcci per affrontare i meccanismi di rilevamento. Le seguenti sezioni descrivono come utilizzare questi approcci:
Best practice
