Esiti relativi alle esposizioni in Security Hub - AWS Security Hub
Come funzionano i risultati dell'esposizioneComponenti di un rilevamento dell'esposizioneClassificazione della gravitàVantaggi dei risultati dell'esposizioneFonti di rilevazione dell'esposizioneBest practice

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esiti relativi alle esposizioni in Security Hub

Un risultato di esposizione in Security Hub rappresenta la correlazione di più segnali di sicurezza che identificano i potenziali rischi per la sicurezza nell' AWS ambiente in uso. I risultati sull'esposizione aiutano a comprendere e dare priorità ai rischi per la sicurezza analizzando automaticamente le combinazioni di vulnerabilità, configurazioni, minacce e relazioni tra le risorse. Un risultato sull'esposizione include caratteristiche e segnali. Un segnale può includere uno o più tipi di caratteristiche di esposizione. Security Hub genera un risultato di esposizione quando i segnali provenienti da Security Hub CSPM, Amazon Inspector GuardDuty, Macie o AWS altri servizi indicano la presenza di un'esposizione. Una risorsa può essere la risorsa principale in, al massimo, un rilevamento dell'esposizione. Se una risorsa non presenta caratteristiche di esposizione o presenta caratteristiche insufficienti, Security Hub non genera un risultato di esposizione per quella risorsa.

Come funzionano i risultati dell'esposizione

Security Hub genera risultati sull'esposizione mediante:

  • Analisi dei segnali provenienti da più servizi AWS di sicurezza: Security Hub raccoglie e analizza continuamente i segnali di sicurezza da più AWS servizi di sicurezza. Acquisisce i risultati GuardDuty per il rilevamento delle minacce, Amazon Inspector per la valutazione delle vulnerabilità, Security Hub CSPM per i controlli di configurazione e Macie per l'esposizione dei dati sensibili. Questi segnali vengono elaborati tramite motori di correlazione avanzati per identificare potenziali rischi per la sicurezza.

  • Valutazione delle configurazioni e delle relazioni tra le risorse: il sistema esegue una valutazione dettagliata delle configurazioni delle risorse rispetto alle migliori pratiche di sicurezza. Esamina le impostazioni specifiche del servizio, i requisiti di conformità e i controlli di sicurezza. Questa analisi aiuta a identificare configurazioni errate che potrebbero portare a vulnerabilità di sicurezza se combinate con altri fattori.

  • Valutazione della raggiungibilità della rete: una componente cruciale dei risultati sull'esposizione è la valutazione della raggiungibilità della rete. Il sistema valuta sia l'esposizione a Internet che i percorsi di accesso alla rete interna. Analizza le configurazioni dei gruppi di sicurezza e le impostazioni ACL di rete per determinare i potenziali vettori di attacco. Questa analisi aiuta a identificare le risorse che potrebbero essere inavvertitamente esposte ad accessi non autorizzati.

  • Correlazione dei problemi di sicurezza correlati: il motore di correlazione mappa le relazioni tra le AWS risorse, analizzando il modo in cui interagiscono e identificando le potenziali implicazioni per la sicurezza. Esamina le autorizzazioni, i ruoli e i modelli di accesso alle risorse di IAM per comprendere il contesto di sicurezza più ampio. Questo processo aiuta a identificare i rischi per la sicurezza che potrebbero esistere a causa della combinazione di configurazioni individuali apparentemente innocenti.

Componenti di un rilevamento dell'esposizione

Ciascun risultato dell'esposizione include:

  • Titolo e descrizione del potenziale rischio per la sicurezza: ogni risultato di esposizione include un titolo chiaro e descrittivo che illustra immediatamente la natura del rischio per la sicurezza. La descrizione fornisce informazioni dettagliate sul potenziale impatto sulla sicurezza, sulle risorse interessate e sul contesto più ampio dell'esposizione. Queste informazioni aiutano i team di sicurezza a comprendere e valutare rapidamente il rischio.

  • Classificazione della gravità (critica, alta, media, bassa):

    • La gravità critica indica che è necessaria un'attenzione immediata a causa dell'elevata probabilità di exploit e del significativo impatto potenziale. Questi risultati rappresentano in genere vulnerabilità facilmente individuabili e sfruttabili.

    • Un'elevata severità suggerisce che è necessaria un'attenzione prioritaria, con una probabilità di exploit da moderata a elevata e un impatto potenziale sostanziale. Questi risultati potrebbero essere relativamente facili da sfruttare, ma potrebbero richiedere condizioni specifiche.

    • Una severità media indica che è necessaria un'attenzione programmata, con una minore probabilità di exploit e un impatto potenziale moderato. Questi risultati richiedono in genere metodi di sfruttamento più complessi.

    • Un livello di severità basso indica che è necessaria un'attenzione di routine, con un potenziale di exploit limitato e un impatto minore. Questi risultati sono in genere difficili da sfruttare e presentano un rischio minimo.

  • Caratteristiche che hanno contribuito all'esposizione: le caratteristiche che contribuiscono rappresentano i fattori principali che hanno portato alla scoperta dell'esposizione. Questi includono vulnerabilità dirette di sicurezza, problemi di configurazione, condizioni di esposizione della rete e impostazioni di autorizzazione delle risorse. Ogni caratteristica fornisce dettagli specifici su come contribuisce al rischio complessivo per la sicurezza.

  • Visualizzazione del percorso di attacco: la visualizzazione del percorso di attacco fornisce un diagramma interattivo che mostra come i potenziali aggressori potrebbero sfruttare l'esposizione identificata. Mappa le relazioni tra le risorse, i percorsi di rete e il potenziale flusso di impatto, aiutando i team di sicurezza a comprendere l'intera portata del rischio e a pianificare strategie di riparazione efficaci.

  • Linee guida dettagliate sulla correzione: ogni risultato sull'esposizione include linee guida dettagliate sulla correzione con misure specifiche e attuabili per affrontare i rischi identificati. Questa guida include raccomandazioni sulle migliori pratiche, passaggi di correzione della configurazione e azioni prioritarie. La guida è personalizzata in base allo scenario di esposizione specifico e considera i AWS servizi coinvolti.

  • Dettagli sulla configurazione delle risorse: configurazione della risorsa al momento della creazione del risultato e configurazione corrente della risorsa nella dashboard dell'inventario delle risorse di Security Hub.

  • Caratteristiche contestuali che forniscono un contesto di sicurezza aggiuntivo: le caratteristiche contestuali sono indicatori di sicurezza aggiuntivi che sono stati identificati da Security Hub ma non sono stati utilizzati per creare un risultato di esposizione.

Classificazione della gravità

I risultati dell'esposizione sono classificati in base a:

  • Facilità di scoperta

  • Facilità di sfruttamento

  • Probabilità di sfruttamento

  • Sensibilizzazione del pubblico

  • Impatto potenziale

Per ulteriori informazioni, vedere Classificazione della gravità dei risultati sull'esposizione.

Vantaggi dei risultati dell'esposizione

  • Analisi manuale ridotta grazie alla correlazione automatizzata: i risultati dell'esposizione riducono significativamente il tempo e l'impegno necessari per l'analisi della sicurezza attraverso la correlazione automatizzata e l'assegnazione intelligente delle priorità dei rischi. Security Hub monitora continuamente l' AWS ambiente, identificando e correlando automaticamente i rischi per la sicurezza che potrebbero essere ignorati attraverso la revisione manuale.

  • Visualizzazione prioritaria dei rischi per la sicurezza: Security Hub utilizza sofisticati algoritmi di valutazione del rischio per dare priorità alle esposizioni in base a gravità, impatto, criticità delle risorse e probabilità di exploit. Questo aiuta i team addetti alla sicurezza a concentrare i propri sforzi innanzitutto sui rischi più significativi, migliorando l'efficienza delle operazioni di sicurezza.

Fonti di rilevazione dell'esposizione

I risultati sull'esposizione comprendono dati provenienti da:

  • GuardDuty L'integrazione con Amazon offre funzionalità di rilevamento continuo delle minacce all'interno dei risultati di esposizione. Monitora attività dannose, potenziali compromissioni degli account e anomalie comportamentali. Il sistema incorpora queste scoperte sulle minacce in un'analisi più ampia dell'esposizione, aiutando a identificare quando le minacce si combinano con altri problemi di sicurezza per creare rischi significativi.

  • Amazon Inspector fornisce dati cruciali sulla valutazione delle vulnerabilità ai risultati dell'esposizione. Fornisce informazioni dettagliate sulla raggiungibilità della rete, sulle vulnerabilità del software e sulle violazioni delle best practice di sicurezza. Questa integrazione aiuta a capire come le vulnerabilità potrebbero essere sfruttate attraverso percorsi di attacco identificati.

  • AWS Security Hub CSPM garantisce che la conformità della configurazione e gli standard di sicurezza siano presi in considerazione nell'analisi dell'esposizione. Valuta le risorse rispetto ai controlli di sicurezza e alle migliori pratiche consolidati, fornendo una base per comprendere i rischi basati sulla configurazione.

  • Amazon Macie migliora i risultati dell'esposizione con funzionalità di individuazione e classificazione dei dati sensibili. Identifica dove sono presenti dati sensibili all'interno dell' AWS ambiente e valuta i potenziali rischi per la privacy, aiutando a comprendere il potenziale impatto delle esposizioni identificate.

Best practice

  • Esamina regolarmente i risultati sull'esposizione: una gestione efficace dell'esposizione richiede processi di revisione strutturati. Le organizzazioni devono implementare revisioni giornaliere delle esposizioni critiche, valutazioni settimanali dello stato di esposizione complessivo, analisi mensili delle tendenze e valutazioni trimestrali del livello di sicurezza. Questo approccio a più livelli garantisce un'attenzione adeguata sia ai rischi immediati che alle tendenze di sicurezza a lungo termine.

  • Dai priorità alle esposizioni critiche e ad alta gravità: una gestione efficace dell'esposizione dipende da un'efficace prioritizzazione dei rischi. Le organizzazioni dovrebbero concentrarsi innanzitutto sulle esposizioni critiche, considerando al contempo la criticità delle risorse e l'impatto aziendale. Questo approccio basato sul rischio aiuta a garantire che gli sforzi di sicurezza siano in linea con le priorità aziendali e a massimizzare la riduzione del rischio.

  • Implementazione delle fasi correttive consigliate: la correzione dell'esposizione deve seguire un approccio sistematico. Le organizzazioni devono implementare con attenzione le misure correttive consigliate, conservare una documentazione dettagliata delle modifiche, condurre test approfonditi delle modifiche e convalidare l'efficacia delle correzioni implementate. Questo approccio metodico aiuta a garantire un'efficace mitigazione del rischio evitando al contempo conseguenze indesiderate.

  • Configura le regole di risposta automatizzate: massimizzare il valore dei risultati dell'esposizione richiede un'automazione efficace. Le organizzazioni devono implementare regole di risposta automatizzate, configurare notifiche appropriate, stabilire flussi di lavoro efficienti e mantenere audit trail completi. Questa automazione aiuta a garantire una risposta coerente e tempestiva alle esposizioni identificate, riducendo al contempo lo sforzo manuale.