Resultados de exposición en Security Hub - AWS Security Hub
Cómo funcionan los resultados de exposiciónComponentes de un hallazgo de exposiciónClasificación de gravedadVentajas de los hallazgos de exposiciónFuentes de los hallazgos de exposiciónPrácticas recomendadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Resultados de exposición en Security Hub

Un hallazgo de exposición en Security Hub representa la correlación de varias señales de seguridad que identifican los posibles riesgos de seguridad en su AWS entorno. Los datos de exposición le ayudan a comprender y priorizar los riesgos de seguridad al analizar automáticamente las combinaciones de vulnerabilidades, configuraciones, amenazas y relaciones entre los recursos. Un resultado de exposición incluye condiciones y señales. Una señal puede incluir uno o varios tipos de condiciones de exposición. Security Hub genera un hallazgo de exposición cuando las señales de Security Hub CSPM, Amazon Inspector GuardDuty, Macie u otros AWS servicios indican la presencia de una exposición. Un recurso puede ser el recurso principal, como máximo, en un hallazgo de exposición. Si un recurso no presenta condiciones de exposición, o estas son insuficientes, Security Hub no genera un resultado de exposición para ese recurso.

Cómo funcionan los resultados de exposición

Security Hub genera hallazgos de exposición de la siguiente manera:

  • Análisis de señales de varios servicios de AWS seguridad: Security Hub recopila y analiza continuamente las señales de seguridad de varios servicios de AWS seguridad. Recoge los resultados de Amazon Inspector GuardDuty para la detección de amenazas, de Amazon Inspector para la evaluación de vulnerabilidades, de Security Hub CSPM para las comprobaciones de configuración y de Macie para la exposición de datos confidenciales. Estas señales se procesan mediante motores de correlación avanzados para identificar posibles riesgos de seguridad.

  • Evaluación de las configuraciones y relaciones de los recursos: el sistema realiza una evaluación detallada de las configuraciones de los recursos comparándolas con las mejores prácticas de seguridad. Examina la configuración específica del servicio, los requisitos de conformidad y los controles de seguridad. Este análisis ayuda a identificar los errores de configuración que podrían provocar vulnerabilidades de seguridad cuando se combinan con otros factores.

  • Evaluación de la accesibilidad de la red: un componente crucial de los hallazgos de exposición es la evaluación de la accesibilidad de la red. El sistema evalúa tanto la exposición a Internet como las rutas de acceso a la red interna. Analiza las configuraciones de los grupos de seguridad y la configuración de las ACL de la red para determinar los posibles vectores de ataque. Este análisis ayuda a identificar los recursos que podrían estar expuestos inadvertidamente a un acceso no autorizado.

  • Correlación de los problemas de seguridad relacionados: el motor de correlación mapea las relaciones entre AWS los recursos, analiza cómo interactúan e identifica las posibles implicaciones de seguridad. Examina los permisos, las funciones y los patrones de acceso a los recursos de IAM para comprender el contexto de seguridad más amplio. Este proceso ayuda a identificar los riesgos de seguridad que pueden existir debido a la combinación de configuraciones individuales aparentemente inocentes.

Componentes de un hallazgo de exposición

Cada hallazgo de exposición incluye:

  • Título y descripción del posible riesgo de seguridad: cada hallazgo de exposición incluye un título descriptivo y claro que indica inmediatamente la naturaleza del riesgo de seguridad. La descripción proporciona información detallada sobre el posible impacto en la seguridad, los recursos afectados y el contexto más amplio de la exposición. Esta información ayuda a los equipos de seguridad a comprender y evaluar rápidamente el riesgo.

  • Clasificación de gravedad (crítica, alta, media, baja):

    • La gravedad crítica indica que se requiere atención inmediata debido a la alta probabilidad de explotación y al importante impacto potencial. Estos hallazgos suelen representar vulnerabilidades fácilmente detectables y explotables.

    • La gravedad alta sugiere que se necesita una atención prioritaria, ya que la probabilidad de explotación es de moderada a alta y el impacto potencial es sustancial. Estos hallazgos pueden ser relativamente fáciles de explotar, pero pueden requerir condiciones específicas.

    • La gravedad media indica que se requiere una atención programada, con una probabilidad de explotación más baja y un impacto potencial moderado. Estos hallazgos suelen requerir métodos de explotación más complejos.

    • La gravedad baja sugiere que es necesaria una atención rutinaria, con un potencial de explotación limitado y un impacto menor. Estos hallazgos suelen ser difíciles de explotar y presentan un riesgo mínimo.

  • Rasgos que contribuyeron a la exposición: Los rasgos que contribuyeron a la exposición representan los principales factores que condujeron a la detección de la exposición. Estos incluyen las vulnerabilidades de seguridad directas, los problemas de configuración, las condiciones de exposición de la red y la configuración de los permisos de los recursos. Cada característica proporciona detalles específicos sobre cómo contribuye al riesgo de seguridad general.

  • Visualización de la ruta de ataque: la visualización de la ruta de ataque proporciona un diagrama interactivo que muestra cómo los posibles atacantes podrían aprovechar la exposición identificada. Mapea las relaciones entre los recursos, las rutas de red y el flujo de impacto potencial, lo que ayuda a los equipos de seguridad a comprender el alcance total del riesgo y a planificar estrategias de remediación eficaces.

  • Guía de remediación detallada: cada hallazgo de exposición incluye una guía de remediación detallada con medidas específicas y factibles para abordar los riesgos identificados. Esta guía incluye recomendaciones de mejores prácticas, pasos para corregir la configuración y medidas prioritarias. La guía se adapta al escenario de exposición específico y tiene en cuenta los AWS servicios involucrados.

  • Detalles de configuración del recurso: configuración del recurso en el momento en que se creó el hallazgo, así como configuración actual del recurso en el panel de inventario de recursos de Security Hub.

  • Características contextuales que proporcionan un contexto de seguridad adicional: las características contextuales son marcadores de seguridad adicionales que Security Hub identificó pero que no se utilizaron para crear una detección de exposición.

Clasificación de gravedad

Los hallazgos de exposición se clasifican en función de:

  • Facilidad de descubrimiento

  • Facilidad de explotación

  • Probabilidad de explotación

  • Sensibilización pública

  • Impacto potencial

Para obtener más información, consulte los resultados de la exposición y la clasificación de la gravedad.

Ventajas de los hallazgos de exposición

  • Reducción del análisis manual mediante la correlación automática: los resultados de la exposición reducen significativamente el tiempo y el esfuerzo necesarios para el análisis de seguridad mediante la correlación automática y la priorización inteligente de los riesgos. Security Hub monitorea continuamente su AWS entorno, identificando y correlacionando automáticamente los riesgos de seguridad que podrían pasarse por alto mediante una revisión manual.

  • Visión priorizada de los riesgos de seguridad: Security Hub emplea sofisticados algoritmos de evaluación de riesgos para priorizar las exposiciones en función de la gravedad, el impacto, la criticidad de los recursos y la probabilidad de explotación. Esto ayuda a los equipos de seguridad a centrar sus esfuerzos primero en los riesgos más importantes, lo que mejora la eficiencia de las operaciones de seguridad.

Fuentes de los hallazgos de exposición

Los hallazgos de exposición incorporan datos de:

  • GuardDuty La integración de Amazon proporciona capacidades de detección continua de amenazas dentro de los hallazgos de exposición. Supervisa las actividades maliciosas, las posibles amenazas a la cuenta y las anomalías de comportamiento. El sistema incorpora estos hallazgos de amenazas en un análisis de exposición más amplio, lo que ayuda a identificar cuándo las amenazas se combinan con otros problemas de seguridad y crean riesgos importantes.

  • Amazon Inspector aporta datos cruciales de evaluación de vulnerabilidades a los hallazgos de exposición. Proporciona información detallada sobre la accesibilidad de la red, las vulnerabilidades del software y las infracciones de las mejores prácticas de seguridad. Esta integración ayuda a comprender cómo se pueden explotar las vulnerabilidades a través de las rutas de ataque identificadas.

  • AWS Security Hub CSPM garantiza que se tengan en cuenta el cumplimiento de la configuración y los estándares de seguridad en el análisis de exposición. Evalúa los recursos comparándolos con los controles de seguridad y las mejores prácticas establecidos, y proporciona una base para comprender los riesgos relacionados con la configuración.

  • Amazon Macie mejora los hallazgos de exposición con capacidades de descubrimiento y clasificación de datos confidenciales. Identifica dónde se encuentran los datos confidenciales en su AWS entorno y evalúa los posibles riesgos de privacidad, lo que ayuda a comprender el posible impacto de las exposiciones identificadas.

Prácticas recomendadas

  • Revise periódicamente los resultados de la exposición: la gestión eficaz de la exposición requiere procesos de revisión estructurados. Las organizaciones deben implementar revisiones diarias de las exposiciones críticas, evaluaciones semanales del estado general de exposición, análisis mensuales de tendencias y evaluaciones trimestrales de la postura de seguridad. Este enfoque por capas garantiza una atención adecuada tanto a los riesgos inmediatos como a las tendencias de seguridad a largo plazo.

  • Priorice las exposiciones críticas y de alta gravedad: la gestión exitosa de la exposición depende de una priorización efectiva de los riesgos. Las organizaciones deben centrarse primero en las exposiciones críticas y, al mismo tiempo, considerar la criticidad de los recursos y el impacto empresarial. Este enfoque basado en el riesgo ayuda a garantizar que los esfuerzos de seguridad se alineen con las prioridades empresariales y maximicen la reducción del riesgo.

  • Implemente las medidas de remediación recomendadas: la remediación de la exposición debe seguir un enfoque sistemático. Las organizaciones deben implementar cuidadosamente las medidas de corrección recomendadas, mantener una documentación detallada de los cambios, realizar pruebas exhaustivas de las modificaciones y validar la eficacia de las correcciones implementadas. Este enfoque metódico ayuda a garantizar una mitigación de riesgos exitosa y, al mismo tiempo, evita las consecuencias no deseadas.

  • Configure reglas de respuesta automatizadas: maximizar el valor de los hallazgos de exposición requiere una automatización eficaz. Las organizaciones deben implementar reglas de respuesta automatizadas, configurar las notificaciones adecuadas, establecer flujos de trabajo eficientes y mantener registros de auditoría integrales. Esta automatización ayuda a garantizar una respuesta coherente y oportuna a las exposiciones identificadas, al tiempo que reduce el esfuerzo manual.