Controles detectivos

Controles detectivos são controles de segurança projetados para detectar, registrar e alertar após a ocorrência de um evento. Os controles detectivos são uma parte fundamental das estruturas de governança. Essas barreiras de proteção são uma segunda linha de defesa, notificando você sobre problemas de segurança que contornaram os controles preventivos.

Por exemplo, você pode aplicar um controle detectivo que detecte e notifique você se um bucket do Amazon Simple Storage Service (Amazon S3) se tornar acessível ao público. Embora você possa ter controles preventivos que desabilitem o acesso público aos buckets do S3 no nível da conta e, em seguida, desabilitem o acesso por meio de SCPs, um agente de ameaças pode contornar esses controles preventivos fazendo login como usuário administrativo. Nessas situações, um controle detectivo pode alertar você sobre a configuração incorreta e a possível ameaça.

Objetivos

• Os controles detectivos ajudam você a melhorar processos de operações de segurança e processos de qualidade.

• Os controles detectivos ajudam você a cumprir obrigações regulatórias, legais ou de conformidade.

• Os controles detectivos fornecem às equipes de operações de segurança visibilidade para responder aos problemas de segurança, incluindo ameaças avançadas que contornem os controles preventivos.

• Os controles detectivos podem ajudar você a identificar a resposta adequada a problemas de segurança e possíveis ameaças.

Processar

Você implementa controles detectivos em duas fases. Primeiro, você configura o sistema para registrar eventos e estados de recursos em um local centralizado, como o Amazon CloudWatch Logs. Depois que o registro centralizado estiver em vigor, você analisará esses logs para detectar anomalias que possam indicar uma ameaça. Cada análise é um controle que é mapeado de acordo com seus requisitos e políticas originais. Por exemplo, você pode criar um controle detectivo que pesquise um padrão específico nos logs e gere um alerta se houver correspondência. Os controles detectivos são usados pelas equipes de segurança para melhorar sua visibilidade geral das ameaças e riscos aos quais o sistema pode estar exposto.

Casos de uso

Detecção de comportamento suspeito

Os controles detectivos ajudam a identificar qualquer atividade anômala, como credenciais de usuário privilegiado comprometidas ou acesso ou exfiltração de dados confidenciais. Esses controles são fatores reativos importantes que podem ajudar sua empresa a identificar e entender o escopo da atividade anômala.

Detecção de fraudes

Esses controles ajudam a detectar e identificar uma ameaça dentro da sua empresa, como um usuário que está contornando políticas e realizando transações não autorizadas.

Conformidade

Os controles detectivos ajudam você a atender aos requisitos de conformidade, como o Payment Card Industry Data Security Standard (PCI DSS), e podem ajudar a evitar roubo de identidades. Esses controles podem ajudar você a descobrir e proteger informações confidenciais que estão sujeitas à conformidade regulatória, como informações de identificação pessoal.

Análise automatizada

Os controles detectivos podem analisar automaticamente logs para detectar anomalias e outros indicadores de atividades não autorizadas.

Você pode analisar automaticamente logs de diferentes fontes, como logs do AWS CloudTrail , Log de fluxo de VPC, e logs do Sistema de Nomes de Domínio (DNS), em busca de indicações de atividades possivelmente mal-intencionadas. Para ajudar na organização, agregue alertas ou descobertas de segurança de vários Serviços da AWS locais em um local centralizado.

Tecnologia

Um controle detectivo comum é implementar um ou mais serviços de monitoramento, que podem analisar fontes de dados, como logs, para identificar ameaças à segurança. No Nuvem AWS, você pode analisar fontes como AWS CloudTrail registros, registros de acesso do Amazon S3 e registros de fluxo da Amazon Virtual Private Cloud para ajudar a detectar atividades incomuns. AWS serviços de segurança, como Amazon GuardDuty, Amazon Detective e Amazon Macie AWS Security Hub, têm funcionalidades de monitoramento integradas.

GuardDuty e o Security Hub

A Amazon GuardDuty usa inteligência de ameaças, aprendizado de máquina e técnicas de detecção de anomalias para monitorar continuamente suas fontes de log em busca de atividades maliciosas ou não autorizadas. O painel fornece informações sobre a integridade em tempo real de suas cargas de trabalho Contas da AWS e de suas cargas de trabalho. Você pode se integrar GuardDuty a AWS Security Hubum serviço de gerenciamento de postura de segurança na nuvem que verifica a adesão às melhores práticas, agrega alertas e permite a remediação automatizada. GuardDuty envia descobertas para o Security Hub como forma de centralizar as informações. Você pode integrar ainda mais o Security Hub às soluções de gerenciamento de eventos e informações de segurança (SIEM) para ampliar os recursos de monitoramento e alerta da sua organização.

Macie

O Amazon Macie é um serviço de segurança e privacidade de dados totalmente gerenciado que usa machine learning e correspondência de padrões para ajudar a descobrir e proteger dados confidenciais na AWS. A seguir estão alguns dos controles e recursos detectivos disponíveis no Macie:

• O Macie inspeciona o inventário de um bucket e todos os objetos armazenados no Amazon S3. Essas informações podem ser apresentadas em uma única visualização do painel, fornecendo visibilidade e ajudando você a avaliar a segurança do bucket.

• Para descobrir dados confidenciais, o Macie usa identificadores de dados gerenciados integrados e também oferece suporte a identificadores de dados personalizados.

• O Macie se integra nativamente com outras Serviços da AWS ferramentas. Por exemplo, Macie emite descobertas como EventBridge eventos da Amazon, que são enviadas automaticamente para o Security Hub.

A seguir estão as práticas recomendadas para configurar controles detectivos no Macie:

• Ative o Macie em todas as contas. Ao usar o recurso de gerenciamento delegado, habilite o Macie em várias contas usando o AWS Organizations.

• Use o Macie para avaliar a postura de segurança dos buckets do S3 em suas contas. Isso ajuda a evitar a perda de dados, fornecendo visibilidade da localização e do acesso aos dados. Para obter mais informações, consulte Analisar sua postura de segurança do Amazon S3 (documentação do Macie).

• Automatize a descoberta de dados confidenciais em seus buckets do S3 executando e programando trabalhos automatizados de processamento e descoberta de dados. Isso inspeciona regularmente os buckets do S3 em busca de dados confidenciais.

AWS Config

AWS Configaudita e registra a conformidade dos AWS recursos. AWS Config descobre AWS os recursos existentes e gera um inventário completo, junto com os detalhes de configuração de cada recurso. Se houver alguma alteração na configuração, ele registrará essas alterações e fornecerá uma notificação. Isso pode ajudar você a detectar e reverter alterações de infraestrutura não autorizadas. Você pode usar regras AWS gerenciadas e criar regras personalizadas.

A seguir estão as práticas recomendadas para configurar controles detectivos no AWS Config:

• Ative AWS Config para cada conta de membro na organização e para cada uma Região da AWS que contenha recursos que você deseja proteger.

• Configure os alertas do Amazon Simple Notification Service (Amazon SNS) para qualquer alteração de configuração.

• Armazene os dados de configuração em um bucket do S3 e use o Amazon Athena para analisá-los.

• Automatize a remediação de recursos não compatíveis usando Automação, um recurso do AWS Systems Manager.

• Use EventBridge nosso Amazon SNS para configurar notificações sobre recursos não AWS compatíveis.

Trusted Advisor

AWS Trusted Advisor pode ser usado como um serviço para controles detectivos. Por meio de um conjunto de verificações, Trusted Advisor identifica áreas nas quais você pode otimizar sua infraestrutura, melhorar o desempenho e a segurança ou reduzir custos. Trusted Advisor fornece recomendações com base nas AWS melhores práticas que você pode seguir para melhorar seus serviços e recursos. Os planos Business e Enterprise Support fornecem acesso a todas as verificações disponíveis dos pilares do AWS Well-Architected Framework.

A seguir estão as práticas recomendadas para configurar controles detectivos no Trusted Advisor:

• Revisar o resumo do nível de verificação

• Implemente recomendações específicas de recursos para estados de aviso e erro.

• Verifique Trusted Advisor com frequência para revisar e implementar ativamente suas recomendações.

Amazon Inspector

O Amazon Inspector é um serviço automatizado de gerenciamento de vulnerabilidades que, após ser habilitado, verifica continuamente workloads em busca de vulnerabilidades de software e exposição não intencional da rede. Ele contextualiza as descobertas em uma pontuação de risco que pode ajudar você a determinar as próximas etapas, como corrigir ou confirmar o status de conformidade.

A seguir estão as práticas recomendadas para configurar controles detectivos no Amazon Inspector:

• Habilite o Amazon Inspector em todas as contas e integre-o EventBridge ao Security Hub para configurar relatórios e notificações para vulnerabilidades de segurança.

• Priorize as remediações e outras ações com base na pontuação de risco do Amazon Inspector.

Resultados de negócios

Menos esforço humano e menos erros

Você pode atingir automação usando a infraestrutura como código (IaC). Automatizar implantação, configuração de serviços e ferramentas de monitoramento e remediação reduz o risco de erros manuais e reduz a quantidade de tempo e esforço necessários para escalonar esses controles detectivos. A automação ajuda no desenvolvimento de runbooks de segurança e reduz as operações manuais para analistas de segurança. Revisões regulares ajudam a ajustar as ferramentas de automação e a iterar e melhorar continuamente os controles detectivos.

Ações apropriadas contra possíveis ameaças

Capturar e analisar eventos a partir de logs e métricas é crucial para ganhar visibilidade. Isso ajuda os analistas a agir sobre eventos de segurança e possíveis ameaças para ajudar a proteger suas workloads. A capacidade de identificar rapidamente quais vulnerabilidades existem ajuda os analistas a tomarem as medidas apropriadas para resolvê-las e corrigi-las.

Melhor resposta a incidentes e tratamento investigativo

A automação das ferramentas de controle detectivas pode aumentar a velocidade de detecção, investigação e recuperação. Alertas e notificações automatizados com base em condições definidas permitem que os analistas de segurança investiguem e respondam adequadamente. Esses fatores responsivos podem ajudá-lo a identificar e entender o escopo da atividade anômala.