Evaluación y priorización de los resultados de seguridad - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Evaluación y priorización de los resultados de seguridad

Un componente fundamental de un programa eficaz de administración de vulnerabilidades es la capacidad de evaluar y priorizar los resultados de seguridad. Aquí es donde entra en juego el contexto, el historial de la organización y el refinamiento de los sistemas de detección. La priorización de los resultados de seguridad ayuda a establecer la velocidad adecuada para el nivel de respuesta.

En el caso de Amazon Inspector y Amazon GuardDuty, los resultados contienen una etiqueta o puntuación de gravedad. AWS Security Hub CSPM Recomendamos priorizar la investigación de todos los hallazgos críticos y de alta gravedad en Security Hub CSPM, incluidos los hallazgos relacionados con el estándar Foundational Security Best Practices (FSBP), Amazon Inspector y. GuardDuty Las etiquetas y puntuaciones de gravedad de los resultados se determinan de la siguiente manera:

  • La puntuación de Amazon Inspector es una puntuación altamente contextualizada para cada resultado. Para calcularla, se correlaciona la información de la puntuación básica del sistema de clasificación de vulnerabilidades comunes (CVSS) con los resultados de accesibilidad de la red y los datos de explotabilidad. Con esta puntuación, puede priorizar los resultados para centrarse en los resultados más críticos y en los recursos vulnerables. Además de la puntuación, Amazon Inspector también proporciona inteligencia de vulnerabilidades mejorada sobre vulnerabilidades y exposiciones comunes (CVE). En esta sección se resume la inteligencia disponible sobre las CVE de Amazon y otros orígenes de inteligencia de seguridad estándar en el sector, como Recorded Future and Cybersecurity and Infrastructure Security Agency (CISA). Por ejemplo, Amazon Inspector puede proporcionar los nombres de los kits de malware conocidos que se utilizan para aprovechar una vulnerabilidad. Para obtener más información, consulte Vulnerability Intelligence.

  • Cada GuardDuty hallazgo tiene un nivel de gravedad y un valor asignados que reflejan el riesgo potencial del hallazgo para su entorno. Los ingenieros de seguridad de AWS determinan este nivel y este valor. Por ejemplo, el nivel de seguridad High indica que un recurso está en peligro y que se está utilizando de forma activa para fines no autorizados. Le recomendamos que dé prioridad a High la GuardDuty determinación de la gravedad y que la corrija de inmediato para evitar un uso no autorizado posterior.

  • La gravedad de una constatación de control del CSPM de Security Hub viene determinada por la dificultad de explotación y la probabilidad de que se ponga en peligro. La dificultad viene determinada por el grado de sofisticación o complejidad que se requiere para utilizar la debilidad para llevar a cabo un escenario de amenaza. La probabilidad de que se ponga en peligro indica la probabilidad de que el escenario de amenaza provoque una interrupción o una violación de sus recursos o de sus recursos Servicios de AWS .

Para ajustar los resultados, puede suprimir o archivar resultados específicos directamente en la consola del servicio correspondiente o mediante la API del servicio. Además, puede realizar cambios en los hallazgos de Security Hub CSPM mediante reglas de automatización. GuardDuty y las conclusiones de Amazon Inspector se envían automáticamente a Security Hub (CSPM). Puede utilizar reglas de automatización para actualizar automáticamente (por ejemplo, cambiar la gravedad) o suprimir los resultados casi en tiempo real, en función de los criterios que defina. Al crear reglas de automatización, le recomendamos agregar contexto a la descripción de la regla, como la fecha de creación o modificación, quién la creó y por qué es necesaria la regla. Esta información suele ser útil para consultarla en el futuro.