View a markdown version of this page

Rischio sconosciuto - Guida sulla risposta agli incidenti di sicurezza di AWS

Rischio sconosciuto

Se ti sei concentrato sulla personalizzazione degli avvisi, sul miglioramento delle procedure di risposta agli incidenti con l'automazione e sul miglioramento delle difese di sicurezza, ti starai chiedendo cosa migliorare oltre a questi aspetti. Potresti essere curioso di conoscere il rischio sconosciuto, come rappresentato nella categoria sconosciuto nella Figura 3. È possibile ridurre il rischio sconosciuto attraverso i seguenti metodi:

  • Definire le affermazioni di sicurezza: quali sono alcune verità che puoi affermare? Quali sono le primitive della sicurezza che dovrebbero assolutamente essere vere nel tuo ambiente? Definirle chiaramente consente di cercare il contrario. Si tratta di qualcosa che è più facile da fare nelle prime fasi del percorso verso il cloud, piuttosto che tentare di decodificare le asserzioni di sicurezza in un secondo momento.

  • Istruzione, comunicazione e ricerca: crea esperti di sicurezza cloud nel tuo personale o includi partner esperti per aiutarti a controllare il tuo ambiente. Sfida i tuoi presupposti e diffida dei ragionamenti superficiali. Crea circuiti di feedback nei tuoi processi e offri ai team di tecnici i meccanismi per comunicare con i team di sicurezza. È inoltre possibile ampliare l'approccio per monitorare le liste di distribuzione di sicurezza e la divulgazione delle informazioni sulla sicurezza.

  • Riduzione della superficie d'attacco: migliora la difesa per evitare rischi e concediti più tempo per attacchi sconosciuti. Blocca e rallenta gli aggressori e costringili a fare rumore.

  • Intelligence sulle minacce: sottoscrivi un feed continuo di minacce, rischi e indicatori attuali e pertinenti provenienti da tutto il mondo.

  • Avvisi: genera notifiche che avvisano di attività insolite, dannose o costose. Ad esempio, è possibile creare una notifica per le attività che si verificano in regioni o servizi che non si utilizzano.

  • Machine Learning: utilizza il machine learning per identificare anomalie complesse per un'organizzazione specifica o per singoli individui. Per aiutarti a identificare comportamenti insoliti, puoi anche profilare le normali caratteristiche delle reti, utenti e sistemi.

L'intelligence sulle minacce diventa l'argomento principale quando si considerano i punti ciechi e le incognite sconosciute. La finestra di Johari mostra come classificare ciò che conosci e non conosci, ma l'intelligence sulle minacce mostra come considerare ciò che ancora non conosci. L'intelligence sulle minacce è una disciplina che aiuta le aziende a vedere oltre il modello delle minacce, per trovare minacce che l'azienda potrebbe non ancora conoscere.

In generale, l'intelligence sulle minacce comprende:

  1. Trovare nuove minacce.

  2. Definizione di nuovi modelli.

  3. Definizione di nuove tecniche di acquisizione automatizzata.

  4. Ripetizione di questi processi.

Sebbene questo tipo di pratica possa essere utile, la cura e il mantenimento di un team di intelligence sulle minacce può gravare eccessivamente su molte aziende, anche grandi. Alla fine, la domanda diventa quella di abbinare il modello di minaccia, le dimensioni e le avversità di rischio. Considerare queste domande:

  • Il tuo modello di minaccia è abbastanza diverso dal verticale standard in cui si trova l'azienda?

  • La propensione al rischio è sufficientemente bassa da richiedere un team del genere?

  • È fiscalmente corretto gestire un team per la tua azienda?

  • Il tuo profilo di rischio è abbastanza interessante da attirare talenti ragionevoli per la tua causa?

Se rispondi no a una di queste domande, molto probabilmente dovresti trovare un partner di intelligence sulle minacce. Questo servizio è offerto in modo competitivo da molte aziende grandi e molto note.

AWS ti fornisce gli strumenti e i servizi per gestire autonomamente questi problemi. L'utilizzo del machine learning per identificare modelli dannosi è un settore di studio molto approfondito, con modelli implementati da clienti, servizi professionali AWS, partner APN e tramite servizi AWS come Amazon GuardDuty e Amazon Macie. Alcuni di questi modelli sono stati illustrati durante le sessioni della conferenza AWS re:Invent. Per ulteriori informazioni, consulta la sezione Media di questo whitepaper.

I clienti stanno inoltre espandendo i loro data lake tradizionalmente incentrati sul business per sfruttare modelli di architettura simili quando sviluppano data lake di sicurezza. I team addetti alle operazioni di sicurezza stanno inoltre espandendo il loro uso dei tradizionali strumenti di registrazione e monitoraggio, come i pannelli di controllo Amazon OpenSearch Service e OpenSearch, alle architetture dei Big Data.

Questi clienti stanno raccogliendo dati interni da registri di eventi AWS CloudTrail, flussi di log VPC, registri di accesso di Amazon CloudFront, registri di database e registri delle applicazioni e quindi combinano questi dati con dati pubblici e di intelligence sulle minacce. Con questi preziosi dati, i clienti hanno ampliato per includere competenze di Data Science e di data engineering nei team operativi di sicurezza per sfruttare strumenti come Amazon EMR, Amazon Kinesis Data Analytics, Amazon Redshift, Amazon QuickSight, AWS Glue, Amazon SageMaker e Apache MXNet su AWS per costruire soluzioni personalizzate che identificano e prevedono anomalie specifiche dell'azienda.

Infine, consulta la sezione Security Partner Solutions per centinaia di prodotti leader del settore dei partner APN che sono equivalenti, identici o integrati con i controlli esistenti nei tuoi On-Premise. Questi prodotti integrano i servizi AWS esistenti per permettere di implementare un'architettura di sicurezza completa e un'esperienza più fluida nel cloud e negli ambienti locali.