SEC04-BP04 Avviare la riparazione per le risorse non conformi

I controlli investigativi possono segnalare la presenza di risorse non conformi ai requisiti di configurazione. È possibile avviare interventi correttivi definiti in modo programmatico, sia manualmente sia automaticamente, per riparare queste risorse e ridurre al minimo gli impatti potenziali. Quando definisci le correzioni in modo programmatico, puoi intraprendere azioni rapide e coerenti.

Sebbene l'automazione possa migliorare le operazioni di sicurezza, occorre implementarla e gestirla con attenzione.  Implementa meccanismi di supervisione e controllo opportuni per verificare che le risposte automatizzate siano efficaci, accurate e in linea con le policy organizzative e la propensione al rischio.

Risultato desiderato: definizione di standard di configurazione delle risorse insieme a passaggi correttivi in caso di rilevamento di una mancata conformità. Dove possibile, hai definito gli interventi correttivi in modo programmatico, in modo da avviarli manualmente o attraverso l'automazione. Sono disponibili sistemi di rilevamento per identificare le risorse non conformi e pubblicare avvisi in strumenti centralizzati monitorati dal personale di sicurezza. Questi strumenti supportano l'esecuzione degli interventi correttivi programmatici, manualmente o automaticamente. Le soluzioni automatiche dispongono di meccanismi di supervisione e controllo adeguati per regolarne l'utilizzo.

Anti-pattern comuni:

• Automazione implementata, ma non si riescono a testare e convalidare a fondo le azioni correttive. Ciò può comportare conseguenze indesiderate, come l'interruzione delle operazioni aziendali legittime o l'instabilità del sistema.

• L'automazione migliora tempi e procedure di risposta, ma senza un monitoraggio adeguato e senza meccanismi che consentano l'intervento umano e la valutazione, quando necessario.

• Ci si affida esclusivamente agli interventi correttivi, senza considerarli come parte di un programma più ampio di risposta agli incidenti e di ripristino.

Vantaggi dell'adozione di questa best practice: gli interventi correttivi automatici possono rispondere alle configurazioni errate più rapidamente rispetto ai processi manuali, il che contribuisce a ridurre al minimo i potenziali impatti aziendali e a ridurre la finestra di opportunità per usi indesiderati. Nel definire gli interventi correttivi in modo programmatico, questi vengono applicate in modo coerente, il che riduce il rischio di errore umano. L'automazione è altresì in grado di gestire un volume maggiore di avvisi contemporaneamente, il che è molto importante negli ambienti che operano su larga scala.  

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Come illustrato in SEC01-BP03 Identifica e convalida gli obiettivi di controllo, servizi come AWS Config aiutano a monitorare la configurazione delle risorse nei tuoi account per verificarne la conformità ai tuoi requisiti.  Quando vengono rilevate risorse non conformi, ti consigliamo di configurare l'invio di avvisi a una soluzione cloud Security Posture Management (), ad esempio per facilitare la riparazione. CSPM AWS Security Hub Queste soluzioni offrono agli investigatori della sicurezza il punto centrale per il monitoraggio dei problemi e l'adozione di misure correttive.

Mentre alcune situazioni di non conformità delle risorse sono uniche e la loro risoluzione richiede il giudizio umano, altre situazioni hanno una risposta standard che si può definire in maniera programmatica. Ad esempio, una risposta standard a un gruppo di VPC sicurezza configurato in modo errato potrebbe consistere nel rimuovere le regole non consentite e avvisare il proprietario. È possibile definire le risposte nelle funzioni di AWS Lambda, nei documenti di AWS Systems Manager Automation o tramite altri ambienti di codice di propria preferenza. Assicurati che l'ambiente sia in grado di autenticarsi per l' AWS utilizzo di un IAM ruolo con il minor numero di autorizzazioni necessario per intraprendere azioni correttive.

Una volta definita la riparazione desiderata, è possibile determinare i mezzi preferiti per avviarla. AWS Config può avviare interventi correttivi per voi. Se utilizzi Security Hub, puoi farlo tramite azioni personalizzate, che pubblicano le informazioni di ricerca su Amazon EventBridge. Una EventBridge regola può quindi avviare la riparazione. È possibile configurare l'azione personalizzata in Security Hub in modo che l'esecuzione sia automatica o manuale.  

Per le azioni correttive programmatiche, ti consigliamo di disporre di log e audit completi delle azioni intraprese e dei relativi risultati. Rivedi e analizza questi log per valutare l'efficacia dei processi automatizzati e identificare le aree di miglioramento. Acquisisci i log in Amazon CloudWatch Logs e i risultati delle riparazioni sotto forma di note di ricerca in Security Hub.

Come punto di partenza, prendi in considerazione Automated Security Response on AWS, che offre soluzioni predefinite per risolvere gli errori di configurazione di sicurezza più comuni.

Passaggi dell'implementazione

1. Analizza e assegna priorità agli avvisi.

   1. Consolida gli avvisi di sicurezza provenienti da vari AWS servizi in Security Hub per visibilità, prioritizzazione e correzione centralizzate.

2. Sviluppa soluzioni correttive.

   1. Utilizza servizi come Systems Manager ed AWS Lambda esegui riparazioni programmatiche.

3. Configura le modalità di avvio delle correzioni.

   1. Utilizzando Systems Manager, definisci azioni personalizzate su cui pubblicare i risultati EventBridge. Configura queste azioni in modo l'avvio avvenga manualmente o automaticamente.

   2. Puoi anche utilizzare Amazon Simple Notification Service (SNS) per inviare notifiche e avvisi alle parti interessate (come il team di sicurezza o i team di risposta agli incidenti) per un intervento manuale o un'escalation, se necessario.

4. Rivedi e analizza i log delle correzioni per verificarne efficacia e miglioramenti.

   1. Invia l'output del log a Logs. CloudWatch Acquisisci i risultati come note sull'esito in Security Hub.

Risorse

Best practice correlate:

• SEC06-BP03 Riduci la gestione manuale e l'accesso interattivo

Documenti correlati:

• AWS Security Incident Response Guide - Detection

Esempi correlati:

• Risposta di sicurezza automatizzata attiva AWS

• Monitora le coppie di chiavi delle EC2 istanze utilizzando AWS Config

• Create AWS Config custom rules by using AWS CloudFormation Guard policies

• Correggi automaticamente istanze e cluster Amazon RDS DB non crittografati

Strumenti correlati:

• AWS Systems Manager Automation

• Risposta di sicurezza automatizzata attiva AWS