Résultats d’exposition dans Security Hub - AWS Security Hub
Comment fonctionnent les résultats d'expositionComposantes d'une constatation d'expositionClassification de gravitéAvantages des résultats d'expositionSources des résultats relatifs à l'expositionBonnes pratiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résultats d’exposition dans Security Hub

Un résultat d'exposition dans Security Hub représente la corrélation de plusieurs signaux de sécurité qui identifient les risques de sécurité potentiels dans votre AWS environnement. Les résultats d'exposition vous aident à comprendre et à hiérarchiser les risques de sécurité en analysant automatiquement les combinaisons de vulnérabilités, de configurations, de menaces et de relations avec les ressources. Un résultat d'exposition inclut des traits et des signaux. Un signal peut inclure un ou plusieurs types de caractéristiques d'exposition. Security Hub génère une détection d'exposition lorsque des signaux provenant de Security Hub CSPM, d'Amazon Inspector GuardDuty, de Macie ou d'autres AWS services indiquent la présence d'une exposition. Une ressource peut être la ressource principale, tout au plus, dans une constatation d'exposition. Si une ressource ne présente aucun caractère d'exposition ou si ses caractéristiques sont insuffisantes, Security Hub ne génère pas de résultat d'exposition pour cette ressource.

Comment fonctionnent les résultats d'exposition

Security Hub génère des résultats d'exposition en :

  • Analyse des signaux provenant de plusieurs services de AWS sécurité : Security Hub collecte et analyse en permanence les signaux de sécurité provenant de plusieurs services de AWS sécurité. Il intègre les résultats d'Amazon Inspector GuardDuty pour la détection des menaces, d'Amazon Inspector pour l'évaluation des vulnérabilités, de Security Hub CSPM pour les vérifications de configuration et de Macie pour l'exposition aux données sensibles. Ces signaux sont traités par des moteurs de corrélation avancés afin d'identifier les risques de sécurité potentiels.

  • Évaluation des configurations et des relations entre les ressources : le système effectue une évaluation détaillée des configurations des ressources par rapport aux meilleures pratiques de sécurité. Il examine les paramètres spécifiques aux services, les exigences de conformité et les contrôles de sécurité. Cette analyse permet d'identifier les erreurs de configuration susceptibles d'entraîner des failles de sécurité lorsqu'elles sont associées à d'autres facteurs.

  • Évaluation de l'accessibilité du réseau : L'évaluation de l'accessibilité du réseau est un élément crucial des résultats d'exposition. Le système évalue à la fois l'exposition à Internet et les chemins d'accès au réseau interne. Il analyse les configurations des groupes de sécurité et les paramètres ACL du réseau afin de déterminer les vecteurs d'attaque potentiels. Cette analyse permet d'identifier les ressources susceptibles d'être exposées par inadvertance à un accès non autorisé.

  • Corrélation des problèmes de sécurité connexes : le moteur de corrélation cartographie les relations entre les AWS ressources, analyse la manière dont elles interagissent et identifie les implications potentielles en matière de sécurité. Il examine les autorisations, les rôles et les modèles d'accès aux ressources IAM afin de comprendre le contexte de sécurité plus large. Ce processus permet d'identifier les risques de sécurité qui peuvent exister en raison de la combinaison de configurations individuelles apparemment innocentes.

Composantes d'une constatation d'exposition

Chaque résultat d'exposition inclut :

  • Titre et description du risque de sécurité potentiel - Chaque découverte d'exposition inclut un titre clair et descriptif qui indique immédiatement la nature du risque de sécurité. La description fournit des informations détaillées sur l'impact potentiel sur la sécurité, les ressources concernées et le contexte général de l'exposition. Ces informations aident les équipes de sécurité à comprendre et à évaluer rapidement le risque.

  • Classification de gravité (critique, élevée, moyenne, faible) :

    • La gravité critique indique qu'une attention immédiate est requise en raison de la forte probabilité d'exploitation et de l'impact potentiel significatif. Ces résultats représentent généralement des vulnérabilités facilement détectables et exploitables.

    • Une gravité élevée suggère qu'une attention prioritaire est requise, avec une probabilité d'exploitation modérée à élevée et un impact potentiel substantiel. Ces résultats peuvent être relativement faciles à exploiter mais peuvent nécessiter des conditions spécifiques.

    • Une gravité moyenne indique qu'une attention planifiée est requise, avec une probabilité d'exploitation plus faible et un impact potentiel modéré. Ces résultats nécessitent généralement des méthodes d'exploitation plus complexes.

    • La faible gravité suggère qu'une attention de routine est nécessaire, avec un potentiel d'exploitation limité et un impact mineur. Ces résultats sont généralement difficiles à exploiter et présentent un risque minimal.

  • Caractéristiques contributives à l'origine de l'exposition : Les caractéristiques contributives représentent les principaux facteurs à l'origine de la constatation de l'exposition. Il s'agit notamment des vulnérabilités de sécurité directes, des problèmes de configuration, des conditions d'exposition du réseau et des paramètres d'autorisation des ressources. Chaque caractéristique fournit des informations spécifiques sur la manière dont elle contribue au risque de sécurité global.

  • Visualisation de la trajectoire d'attaque : La visualisation de la trajectoire d'attaque fournit un diagramme interactif montrant comment les attaquants potentiels pourraient exploiter l'exposition identifiée. Il cartographie les relations entre les ressources, les chemins réseau et le flux d'impact potentiel, aidant les équipes de sécurité à comprendre l'étendue du risque et à planifier des stratégies de correction efficaces.

  • Conseils de remédiation détaillés : Chaque constatation d'exposition inclut des conseils de remédiation détaillés avec des mesures spécifiques et réalisables pour faire face aux risques identifiés. Ce guide inclut des recommandations relatives aux meilleures pratiques, des étapes de correction de configuration et des actions prioritaires. Le guide est adapté au scénario d'exposition spécifique et prend en compte les AWS services concernés.

  • Détails de configuration des ressources : configuration de la ressource au moment de la création de la découverte ainsi que configuration actuelle de la ressource dans le tableau de bord de l'inventaire des ressources du Security Hub.

  • Caractéristiques contextuelles fournissant un contexte de sécurité supplémentaire : les caractéristiques contextuelles sont des marqueurs de sécurité supplémentaires qui ont été identifiés par Security Hub mais qui n'ont pas été utilisés pour créer un résultat d'exposition.

Classification de gravité

Les résultats d'exposition sont classés selon les critères suivants :

  • Facilité de découverte

  • Facilité d'exploitation

  • Probabilité d'exploitation

  • Sensibilisation du public

  • Incidence potentielle

Pour plus d'informations, voir Classification de gravité des résultats d'exposition.

Avantages des résultats d'exposition

  • Réduction de l'analyse manuelle grâce à la corrélation automatique : les résultats d'exposition réduisent considérablement le temps et les efforts nécessaires à l'analyse de sécurité grâce à une corrélation automatique et à une hiérarchisation intelligente des risques. Security Hub surveille en permanence votre AWS environnement, identifiant et corrélant automatiquement les risques de sécurité susceptibles d'être ignorés grâce à un examen manuel.

  • Vue hiérarchisée des risques de sécurité : Security Hub utilise des algorithmes sophistiqués d'évaluation des risques pour hiérarchiser les expositions en fonction de leur gravité, de leur impact, de la criticité des ressources et de la probabilité d'exploitation. Cela permet aux équipes de sécurité de concentrer d'abord leurs efforts sur les risques les plus importants, améliorant ainsi l'efficacité des opérations de sécurité.

Sources des résultats relatifs à l'exposition

Les résultats relatifs à l'exposition intègrent des données provenant de :

  • GuardDuty L'intégration avec Amazon fournit des fonctionnalités de détection continue des menaces en fonction des résultats d'exposition. Il surveille les activités malveillantes, les compromissions potentielles des comptes et les anomalies comportementales. Le système intègre les résultats de ces menaces dans une analyse plus large de l'exposition, ce qui permet d'identifier les cas dans lesquels les menaces se combinent à d'autres problèmes de sécurité pour créer des risques importants.

  • Amazon Inspector fournit des données cruciales d'évaluation des vulnérabilités aux résultats d'exposition. Il fournit des informations détaillées sur l'accessibilité du réseau, les vulnérabilités logicielles et les violations des meilleures pratiques de sécurité. Cette intégration permet de comprendre comment les vulnérabilités peuvent être exploitées par le biais de chemins d'attaque identifiés.

  • AWS Security Hub CSPM veille à ce que la conformité des configurations et les normes de sécurité soient prises en compte dans l'analyse de l'exposition. Il évalue les ressources par rapport aux contrôles de sécurité établis et aux meilleures pratiques, fournissant ainsi une base pour comprendre les risques liés à la configuration.

  • Amazon Macie améliore les résultats d'exposition grâce à des fonctionnalités de découverte et de classification des données sensibles. Il identifie l'emplacement des données sensibles dans votre AWS environnement et évalue les risques potentiels en matière de confidentialité, aidant ainsi à comprendre l'impact potentiel des expositions identifiées.

Bonnes pratiques

  • Examiner régulièrement les résultats d'exposition : une gestion efficace de l'exposition nécessite des processus d'examen structurés. Organisations devraient mettre en œuvre des examens quotidiens des expositions critiques, des évaluations hebdomadaires de l'état d'exposition global, des analyses mensuelles des tendances et des évaluations trimestrielles de la posture de sécurité. Cette approche à plusieurs niveaux garantit une attention appropriée aux risques immédiats et aux tendances de sécurité à long terme.

  • Priorisez les expositions critiques et très graves : la réussite de la gestion des expositions dépend de la priorisation efficace des risques. Organisations doivent d'abord se concentrer sur les expositions critiques tout en tenant compte de la criticité des ressources et de l'impact commercial. Cette approche basée sur les risques permet de garantir que les efforts de sécurité correspondent aux priorités de l'entreprise et de maximiser la réduction des risques.

  • Mettre en œuvre les mesures correctives recommandées : L'élimination de l'exposition doit suivre une approche systématique. Organisations doivent soigneusement mettre en œuvre les mesures correctives recommandées, conserver une documentation détaillée des modifications, effectuer des tests approfondis des modifications et valider l'efficacité des correctifs mis en œuvre. Cette approche méthodique permet de garantir une atténuation efficace des risques tout en évitant des conséquences imprévues.

  • Configurez des règles de réponse automatisées : l'optimisation de la valeur des résultats d'exposition nécessite une automatisation efficace. Organisations doivent mettre en œuvre des règles de réponse automatisées, configurer les notifications appropriées, établir des flux de travail efficaces et maintenir des pistes d'audit complètes. Cette automatisation permet de garantir une réponse cohérente et rapide aux expositions identifiées tout en réduisant les efforts manuels.