SEC04-BP04 Iniciar a correção de recursos irregulares

Seus controles de detecção podem emitir alertas sobre recursos que não estão em conformidade com seus requisitos de configuração. Você pode iniciar correções definidas de maneira programática, tanto manual quanto automaticamente, para corrigir esses recursos e ajudar a minimizar possíveis impactos. Ao definir correções programaticamente, você pode tomar medidas rápidas e consistentes.

Embora a automação possa aprimorar as operações de segurança, você deve implementar e gerenciar a automação com cuidado.  Estabeleça mecanismos apropriados de supervisão e controle para verificar se as respostas automatizadas são eficazes e precisas e estão alinhadas com as políticas organizacionais e a propensão ao risco.

Resultado desejado: você define os padrões de configuração de recursos e as etapas de correção para quando forem detectados recursos irregulares. Sempre que possível, você procura definir as correções programaticamente para que elas possam ser iniciadas de modo manual ou por meio de automação. Existem sistemas de detecção para identificar recursos irregulares e publicar alertas em ferramentas centralizadas que são monitoradas por suas equipes de segurança. Essas ferramentas comportam a execução das correções programáticas, tanto manual quanto automaticamente. As correções automáticas têm mecanismos apropriados de supervisão e controle para governar o respectivo uso.

Antipadrões comuns:

• Você implementa a automação, mas não consegue testar e validar minuciosamente as ações de correção. Isso pode resultar em consequências indesejadas, como interrupção de operações comerciais legítimas ou instabilidade no sistema.

• Você melhora os tempos de resposta e os procedimentos por meio da automação, mas sem monitoramento e mecanismos adequados que permitam a intervenção e avaliação humanas quando necessário.

• Você depende exclusivamente de correções, em vez de tê-las como parte de um programa mais amplo de resposta e recuperação de incidentes.

Benefícios do estabelecimento desta prática recomendada: as correções automáticas podem responder a configurações incorretas mais rapidamente do que os processos manuais, o que ajuda a minimizar possíveis impactos nos negócios e reduzir a janela de oportunidades para usos indesejados. Quando você define as correções programaticamente, elas são aplicadas de forma consistente, o que reduz o risco de erro humano. A automação também pode lidar com um volume maior de alertas de forma simultânea, o que é particularmente importante em ambientes que operam em grande escala.  

Nível de exposição a riscos se esta prática recomendada não for estabelecida: médio

Orientações para a implementação

Conforme descrito em SEC01-BP03 Identificar e validar objetivos de controle, serviços como o AWS Config podem ajudar você a monitorar a configuração dos recursos em suas contas com relação à adesão aos seus requisitos.  Quando forem detectados recursos irregulares, é recomendável configurar o envio de alertas a uma solução de gerenciamento de procedimentos de segurança na nuvem (CSPM) (por ex., o AWS Security Hub) para ajudar na correção. Essas soluções fornecem um local central para os investigadores de segurança monitorarem os problemas e tomarem medidas corretivas.

Embora algumas situações em que há recursos irregulares sejam únicas e exijam avaliação humana para serem corrigidas, outras têm uma resposta padrão que você pode definir programaticamente. Por exemplo, uma resposta padrão a um grupo de segurança da VPC configurado incorretamente pode ser remover as regras não permitidas e notificar o responsável. As respostas podem ser definidas em funções do AWS Lambda, em documentos do AWS Systems Manager Automation ou por meio de outros ambientes de sua preferência. O ambiente deve estar apto a se autenticar na AWS usando um perfil do IAM com as permissões mínimas necessárias para tomar medidas corretivas.

Após a definição da correção desejada, você poderá determinar seus meios de preferência para iniciá-la. O AWS Config pode iniciar as correções para você. Se você estiver usando o Security Hub, poderá fazer isso por meio de ações personalizadas, as quais publicam as informações de descoberta no Amazon EventBridge. Uma regra do EventBridge pode então iniciar a correção. Você pode configurar a ação personalizada no Security Hub para ser executada de forma automática ou manual.  

Para correção programática, recomendamos que você tenha logs e auditorias abrangentes das ações realizadas, bem como dos respectivos resultados. Revise e analise esses logs para avaliar a eficácia dos processos automatizados e identificar áreas de melhoria. Capture logs no Amazon CloudWatch Logs e resultados de correções como notas de descoberta no Security Hub.

Como ponto de partida, considere a resposta automatizada de segurança na AWS, que tem correções predefinidas para resolver erros comuns de configuração de segurança.

Etapas da implementação

1. Analise e priorize os alertas.

   1. Consolide alertas de segurança de vários serviços da AWS no Security Hub para ter visibilidade, priorização e correção centralizadas.

2. Desenvolva correções.

   1. Use serviços como o Systems Manager e o AWS Lambda para executar correções programáticas.

3. Configure como as correções são iniciadas.

   1. Usando o Systems Manager, defina ações personalizadas que publiquem as descobertas no EventBridge. Configure essas ações para serem iniciadas manual ou automaticamente.

   2. Você também pode usar o Amazon Simple Notification Service (SNS) para enviar notificações e alertas às partes interessadas relevantes (como equipe de segurança ou equipes de resposta a incidentes) para intervenção manual ou encaminhamento, se necessário.

4. Revise e analise os logs de correção em prol da eficácia e melhoria.

   1. Envie a saída de logs ao CloudWatch Logs. Capture resultados como notas de descoberta no Security Hub.

Recursos

Práticas recomendadas relacionadas:

• SEC06-BP03 Reduzir o gerenciamento manual e o acesso interativo

Documentos relacionados:

• AWS Security Incident Response Guide - Detection

Exemplos relacionados:

• Automated Security Response on AWS

• Monitor EC2 instance key pairs using AWS Config

• Create AWS Config custom rules by using AWS CloudFormation Guard policies

• Automatically remediate unencrypted Amazon RDS DB instances and clusters

Ferramentas relacionadas:

• AWS Systems Manager Automation

• Automated Security Response on AWS