セキュリティコントロールエンジニアリングの一環としての検出

検出メカニズムは、セキュリティコントロールの開発に欠かせないものです。ディレクティブコントロールと予防的コントロールを定義したら、関連する検出コントロールと対応コントロールを構築する必要があります。例えば、ある組織が AWS アカウントのルートユーザーに関連するディレクティブコントロールを確立したとします。このコントロールは、具体的な、明確に定義されたアクティビティにのみ使用する必要があります。これを、AWS 組織のサービスコントロールポリシー (SCP) を使用して実装された予防的コントロールに関連付けます。ルートユーザーのアクティビティが予想ベースラインを超えた場合、EventBridge ルールと SNS トピックを使用して実装された検出コントロールが、セキュリティオペレーションセンター (SOC) に警告します。対応コントロールが、SOC に適切なプレイブックを選択させ、分析を実行させ、インシデントの解決まで作業に当たらせます。

セキュリティコントロールは、AWS で実行されているワークロードの脅威モデリングによって定義するのが最も適切です。検出コントロールの重要度は、特定のワークロードに対するビジネスインパクト分析 (BIA) を確認して設定されます。検出コントロールによって生成されたアラートは、そのままの状態で処理されるものではなく、初期の重要度に基づいて分析中に調整されます。アラートの初期の重要度は優先順位付けに役立ちますが、実際の重要度はアラートが発生した文脈によって決まります。例えば、ある組織が、ワークロードの一部である EC2 インスタンスに使用される検出コントロールのコンポーネントとして Amazon GuardDuty を使用しているとします。検出結果 Impact:EC2/SuspiciousDomainRequest.Reputation が生成され、ワークロード内のリストされた Amazon EC2 インスタンスが悪意が疑われるドメイン名をクエリしていることが通知されました。このアラートはデフォルトでは重要度が低く設定されていましたが、分析フェーズが進むにつれて、不正なアクターによって数百もの p4d.24xlarge タイプの EC2 インスタンスがデプロイされ、組織の運用コストが大幅に増加していることが判明しました。この時点で、インシデント対応チームは、このアラートの重要度を高に調整し、緊急性を高め、さらなるアクションを迅速に行うことを決定します。GuardDuty の検出結果の重要度は変更できないことに注意してください。