Avalie e priorize as descobertas de segurança - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Avalie e priorize as descobertas de segurança

Um componente essencial de um programa eficaz de gerenciamento de vulnerabilidades é a capacidade de avaliar e priorizar as descobertas de segurança. É aqui que entra o contexto, o histórico organizacional e o ajuste dos sistemas de detecção. A priorização das descobertas de segurança ajuda a estabelecer a velocidade apropriada para o nível de resposta.

Para o Amazon Inspector e a Amazon AWS Security Hub GuardDuty, as descobertas contêm um rótulo ou pontuação de severidade. Recomendamos priorizar a investigação de todas as descobertas críticas e de alta severidade no Security Hub, incluindo descobertas relacionadas ao padrão Foundational Security Best Practices (FSBP), Amazon Inspector e. GuardDuty Para encontrar rótulos de severidade, as pontuações são determinadas da seguinte forma:

  • A pontuação do Amazon Inspector é uma pontuação altamente contextualizada para cada descoberta. É calculado correlacionando as informações de pontuação básica do Common Vulnerability Scoring System (CVSS) com os resultados de acessibilidade da rede e dados de explorabilidade. Usando essa pontuação, você pode priorizar as descobertas para se concentrar nas descobertas mais críticas e nos recursos vulneráveis. Além da pontuação, o Amazon Inspector também fornece inteligência de vulnerabilidade aprimorada sobre vulnerabilidades e exposições comuns (CVE). Este é um resumo da inteligência disponível sobre o CVE da Amazon, bem como de fontes de inteligência de segurança padrão do setor, como Recorded Future e Cybersecurity and Infrastructure Security Agency (CISA). Por exemplo, o Amazon Inspector pode fornecer os nomes de kits de malware conhecidos usados para explorar uma vulnerabilidade. Para obter mais informações, consulte Inteligência de vulnerabilidade.

  • Cada GuardDuty descoberta tem um nível de severidade e um valor atribuídos que refletem o risco potencial da descoberta para seu ambiente. Esse nível e valor são determinados pelos engenheiros AWS de segurança. Por exemplo, um nível de High severidade indica que um recurso está comprometido e está sendo usado ativamente para fins não autorizados. Recomendamos que você trate uma GuardDuty constatação de High gravidade como uma prioridade e corrija imediatamente para evitar mais uso não autorizado.

  • A severidade de uma descoberta de controle do Security Hub é determinada pela dificuldade de exploração e pela probabilidade de comprometimento. A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça. A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus recursos ou de seus recursos Serviços da AWS .

Para ajustar as descobertas, você pode suprimir ou arquivar descobertas específicas diretamente no respectivo console de serviço ou usando a API do serviço. Além disso, você pode fazer alterações nas descobertas no Security Hub usando regras de automação. GuardDuty e as descobertas do Amazon Inspector são enviadas automaticamente para o Security Hub. Você pode usar regras de automação para atualizar automaticamente (como alterar a gravidade) ou suprimir descobertas quase em tempo real, com base nos critérios definidos por você. Ao criar regras de automação, recomendamos adicionar contexto à descrição da regra, como a data de criação ou modificação, quem a criou e por que a regra é necessária. Essas informações geralmente são úteis para referência futura.