Erkenntnisse zu Sicherheitsrisiken in Security Hub - AWS Security Hub
Wie funktionieren ExpositionsergebnisseBestandteile einer RisikofeststellungKlassifizierung des SchweregradsVorteile von ExpositionsergebnissenQuellen der Feststellungen zur ExpositionBest Practices

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erkenntnisse zu Sicherheitsrisiken in Security Hub

Ein Sicherheitsrisiko in Security Hub stellt die Korrelation mehrerer Sicherheitssignale dar, die potenzielle Sicherheitsrisiken in Ihrer AWS Umgebung identifizieren. Durch die automatische Analyse von Kombinationen von Sicherheitslücken, Konfigurationen, Bedrohungen und Ressourcenbeziehungen können Sie Sicherheitsrisiken besser verstehen und priorisieren. Ein Expositionsbefund umfasst Merkmale und Signale. Ein Signal kann eine oder mehrere Arten von Expositionsmerkmalen enthalten. Security Hub generiert eine Risikofeststellung, wenn Signale von Security Hub CSPM, Amazon Inspector GuardDuty, Macie oder anderen AWS Diensten auf das Vorliegen einer Gefährdung hinweisen. Eine Ressource kann bei höchstens einem Expositionsergebnis die Hauptressource sein. Wenn eine Ressource keine oder nur unzureichende Merkmale aufweist, generiert Security Hub für diese Ressource keinen Risikoergebnis.

Wie funktionieren Expositionsergebnisse

Security Hub generiert Ergebnisse zur Gefährdung durch:

  • Analysieren von Signalen von mehreren AWS Sicherheitsdiensten: Security Hub sammelt und analysiert kontinuierlich Sicherheitssignale von mehreren AWS Sicherheitsdiensten. Es erfasst Ergebnisse von GuardDuty zur Bedrohungserkennung, Amazon Inspector zur Schwachstellenbeurteilung, Security Hub CSPM für Konfigurationsprüfungen und Macie zur Offenlegung sensibler Daten. Diese Signale werden mithilfe fortschrittlicher Korrelations-Engines verarbeitet, um potenzielle Sicherheitsrisiken zu identifizieren.

  • Bewertung von Ressourcenkonfigurationen und Beziehungen: Das System führt eine detaillierte Bewertung der Ressourcenkonfigurationen anhand bewährter Sicherheitsverfahren durch. Es untersucht dienstspezifische Einstellungen, Compliance-Anforderungen und Sicherheitskontrollen. Diese Analyse hilft dabei, Fehlkonfigurationen zu identifizieren, die in Kombination mit anderen Faktoren zu Sicherheitslücken führen könnten.

  • Bewertung der Erreichbarkeit von Netzwerken: Ein entscheidender Bestandteil der Feststellungen zur Gefährdung ist die Bewertung der Erreichbarkeit des Netzwerks. Das System bewertet sowohl die Internetgefährdung als auch die internen Netzwerkzugangspfade. Es analysiert Sicherheitsgruppenkonfigurationen und Netzwerk-ACL-Einstellungen, um potenzielle Angriffsvektoren zu ermitteln. Diese Analyse hilft dabei, Ressourcen zu identifizieren, die versehentlich unbefugten Zugriffen ausgesetzt sein könnten.

  • Korrelation verwandter Sicherheitsprobleme: Die Korrelations-Engine bildet die Beziehungen zwischen AWS Ressourcen ab, analysiert, wie sie interagieren, und identifiziert potenzielle Sicherheitsauswirkungen. Es untersucht IAM-Berechtigungen, Rollen und Ressourcenzugriffsmuster, um den breiteren Sicherheitskontext zu verstehen. Dieser Prozess hilft dabei, Sicherheitsrisiken zu identifizieren, die aufgrund der Kombination scheinbar harmloser Einzelkonfigurationen bestehen könnten.

Bestandteile einer Risikofeststellung

Jeder Expositionsergebnis umfasst:

  • Titel und Beschreibung des potenziellen Sicherheitsrisikos — Jede Risikofeststellung enthält einen klaren, beschreibenden Titel, der unmittelbar die Art des Sicherheitsrisikos vermittelt. Die Beschreibung enthält detaillierte Informationen über die potenziellen Sicherheitsauswirkungen, die betroffenen Ressourcen und den breiteren Kontext des Risikos. Diese Informationen helfen Sicherheitsteams dabei, das Risiko schnell zu verstehen und einzuschätzen.

  • Klassifizierung des Schweregrads (Kritisch, Hoch, Mittel, Niedrig):

    • Der Schweregrad „Kritisch“ bedeutet, dass aufgrund der hohen Wahrscheinlichkeit eines Exploits und der erheblichen potenziellen Auswirkungen sofortige Maßnahmen erforderlich sind. Bei diesen Ergebnissen handelt es sich in der Regel um leicht auffindbare und ausnutzbare Sicherheitslücken.

    • Ein hoher Schweregrad deutet darauf hin, dass vordringliche Maßnahmen erforderlich sind, wobei die Wahrscheinlichkeit einer Ausnutzung moderat bis hoch ist und erhebliche potenzielle Auswirkungen auftreten können. Diese Ergebnisse sind möglicherweise relativ einfach auszunutzen, erfordern jedoch möglicherweise besondere Bedingungen.

    • Ein mittlerer Schweregrad bedeutet, dass planmäßige Maßnahmen erforderlich sind, die Wahrscheinlichkeit eines Exploits geringer ist und die potenziellen Auswirkungen moderat sind. Diese Ergebnisse erfordern in der Regel komplexere Ausnutzungsmethoden.

    • Ein niedriger Schweregrad deutet darauf hin, dass routinemäßige Maßnahmen erforderlich sind, da das Nutzungspotenzial begrenzt ist und die Auswirkungen gering sind. Diese Ergebnisse sind in der Regel schwer auszunutzen und bergen ein minimales Risiko.

  • Beitragende Merkmale, die zur Exposition geführt haben: Diese Merkmale stellen die wichtigsten Faktoren dar, die zur Feststellung der Exposition geführt haben. Dazu gehören direkte Sicherheitslücken, Konfigurationsprobleme, Netzwerkgefährdungsbedingungen und Einstellungen für Ressourcenberechtigungen. Jedes Merkmal enthält spezifische Informationen darüber, wie es zum allgemeinen Sicherheitsrisiko beiträgt.

  • Visualisierung des Angriffspfads: Die Visualisierung des Angriffspfads bietet ein interaktives Diagramm, das zeigt, wie potenzielle Angreifer die identifizierte Gefahr ausnutzen könnten. Es zeigt Ressourcenbeziehungen, Netzwerkpfade und mögliche Auswirkungen auf und hilft Sicherheitsteams, den vollen Umfang des Risikos zu verstehen und effektive Abwehrstrategien zu planen.

  • Detaillierte Hinweise zur Problembehebung: Jedes gefundene Risiko beinhaltet detaillierte Anleitungen zur Behebung der identifizierten Risiken mit spezifischen, umsetzbaren Schritten. Diese Anleitung umfasst Empfehlungen für bewährte Verfahren, Schritte zur Konfigurationskorrektur und priorisierte Maßnahmen. Die Leitlinien sind auf das spezifische Expositionsszenario zugeschnitten und berücksichtigen die beteiligten AWS Dienste.

  • Details zur Ressourcenkonfiguration: Konfiguration der Ressource zum Zeitpunkt der Erstellung des Ergebnisses sowie aktuelle Konfiguration der Ressource im Security Hub Hub-Ressourceninventar-Dashboard.

  • Kontextuelle Merkmale, die zusätzlichen Sicherheitskontext bieten: Kontextuelle Merkmale sind zusätzliche Sicherheitsmerkmale, die von Security Hub identifiziert, aber nicht zur Erstellung eines Risikos verwendet wurden.

Klassifizierung des Schweregrads

Die Ergebnisse der Exposition werden nach folgenden Kriterien klassifiziert:

  • Einfache Entdeckung

  • Einfache Ausnutzung

  • Wahrscheinlichkeit einer Ausbeutung

  • Sensibilisierung der Öffentlichkeit

  • Mögliche Auswirkungen

Weitere Informationen finden Sie unter Klassifizierung des Schweregrads der Expositionsbefunde.

Vorteile von Expositionsergebnissen

  • Weniger manuelle Analysen durch automatisierte Korrelation: Durch automatisierte Korrelation und intelligente Risikopriorisierung wird der Zeit- und Arbeitsaufwand für Sicherheitsanalysen erheblich reduziert. Security Hub überwacht Ihre AWS Umgebung kontinuierlich und identifiziert und korreliert automatisch Sicherheitsrisiken, die bei manueller Überprüfung möglicherweise übersehen werden.

  • Priorisierte Ansicht von Sicherheitsrisiken: Security Hub verwendet ausgeklügelte Algorithmen zur Risikobewertung, um Risiken auf der Grundlage von Schweregrad, Auswirkung, Ressourcenkritikalität und Exploit-Wahrscheinlichkeit zu priorisieren. Auf diese Weise können sich die Sicherheitsteams zunächst auf die wichtigsten Risiken konzentrieren und so die Effizienz der Sicherheitsabläufe verbessern.

Quellen der Feststellungen zur Exposition

Die Ergebnisse zur Exposition beinhalten Daten aus:

  • GuardDuty Die Amazon-Integration bietet kontinuierliche Funktionen zur Bedrohungserkennung innerhalb von Risikoergebnissen. Es überwacht böswillige Aktivitäten, potenzielle Kontokompromittierungen und Verhaltensanomalien. Das System bezieht diese Bedrohungserkenntnisse in die umfassendere Risikoanalyse ein und hilft so zu erkennen, wann Bedrohungen zusammen mit anderen Sicherheitsproblemen zu erheblichen Risiken führen.

  • Amazon Inspector trägt wichtige Daten zur Schwachstellenbeurteilung zu den Ergebnissen der Exposition bei. Es bietet detaillierte Informationen zur Erreichbarkeit des Netzwerks, zu Softwareschwachstellen und zu Verstößen gegen bewährte Sicherheitsverfahren. Diese Integration hilft zu verstehen, wie Sicherheitslücken über identifizierte Angriffspfade ausgenutzt werden können.

  • AWS Security Hub CSPM stellt sicher, dass die Einhaltung von Konfigurationen und Sicherheitsstandards bei der Risikoanalyse berücksichtigt wird. Es bewertet Ressourcen anhand etablierter Sicherheitskontrollen und bewährter Verfahren und bietet so eine Grundlage für das Verständnis konfigurationsbedingter Risiken.

  • Amazon Macie verbessert die Ergebnisse von Sicherheitslücken mit Funktionen zur Erkennung und Klassifizierung sensibler Daten. Es identifiziert, wo sich sensible Daten in Ihrer AWS Umgebung befinden, und bewertet potenzielle Datenschutzrisiken, um die potenziellen Auswirkungen identifizierter Sicherheitsrisiken besser zu verstehen.

Best Practices

  • Regelmäßige Überprüfung der Ergebnisse zur Exposition: Ein effektives Expositionsmanagement erfordert strukturierte Überprüfungsprozesse. Organizations sollten tägliche Überprüfungen kritischer Risiken, wöchentliche Bewertungen des allgemeinen Risikostatus, monatliche Trendanalysen und vierteljährliche Bewertungen der Sicherheitslage durchführen. Dieser mehrstufige Ansatz gewährleistet, dass sowohl unmittelbaren Risiken als auch langfristigen Sicherheitstrends angemessene Aufmerksamkeit geschenkt wird.

  • Priorisieren Sie kritische Risiken und Risiken mit hohem Schweregrad: Ein erfolgreiches Risikomanagement hängt von einer effektiven Risikopriorisierung ab. Organizations sollten sich zunächst auf kritische Risiken konzentrieren und dabei die Kritikalität der Ressourcen und die Auswirkungen auf das Geschäft berücksichtigen. Dieser risikobasierte Ansatz trägt dazu bei, dass die Sicherheitsbemühungen mit den Geschäftsprioritäten übereinstimmen und die Risikominderung maximiert wird.

  • Implementieren Sie die empfohlenen Abhilfemaßnahmen: Bei der Gefahrenabwehr sollte ein systematischer Ansatz verfolgt werden. Organizations sollten die empfohlenen Abhilfemaßnahmen sorgfältig umsetzen, eine detaillierte Dokumentation der Änderungen führen, gründliche Tests der Änderungen durchführen und die Wirksamkeit der implementierten Korrekturen überprüfen. Dieser methodische Ansatz trägt dazu bei, eine erfolgreiche Risikominderung sicherzustellen und gleichzeitig unbeabsichtigte Folgen zu vermeiden.

  • Konfigurieren Sie Regeln für automatisierte Reaktionen: Um den Wert von Risikoergebnissen zu maximieren, ist eine effektive Automatisierung erforderlich. Organizations sollten automatisierte Reaktionsregeln implementieren, entsprechende Benachrichtigungen konfigurieren, effiziente Workflows einrichten und umfassende Prüfpfade führen. Diese Automatisierung trägt dazu bei, eine konsistente und zeitnahe Reaktion auf identifizierte Risiken sicherzustellen und gleichzeitig den manuellen Aufwand zu reduzieren.