Avaliar e priorizar as descobertas de segurança - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Avaliar e priorizar as descobertas de segurança

Um componente essencial de um programa eficaz de gerenciamento de vulnerabilidades é a capacidade de avaliar e priorizar as descobertas de segurança. É aqui que entra o contexto, o histórico organizacional e o ajuste dos sistemas de detecção. A priorização das descobertas de segurança ajuda a estabelecer a rapidez apropriada para o nível de resposta.

Para o Amazon Inspector e a Amazon AWS Security Hub CSPM GuardDuty, as descobertas contêm um rótulo ou pontuação de severidade. Recomendamos priorizar a investigação de todas as descobertas críticas e de alta severidade no CSPM do Security Hub, incluindo descobertas relacionadas ao padrão Foundational Security Best Practices (FSBP), Amazon Inspector e. GuardDuty Para encontrar rótulos de gravidade, as pontuações são determinadas da seguinte forma:

  • A pontuação do Amazon Inspector é uma pontuação altamente contextualizada para cada descoberta. Ela é calculada correlacionando as informações de pontuação básica do Sistema Comum de Pontuação de Vulnerabilidades (CVSS) com os resultados de acessibilidade da rede e dados de explorabilidade. Usando essa pontuação, você pode priorizar as descobertas para se concentrar nas descobertas mais críticas e nos recursos vulneráveis. Além da pontuação, o Amazon Inspector também fornece inteligência aprimorada sobre Vulnerabilidades e exposições comuns (CVE). Esta seção resume a inteligência disponível sobre CVE da Amazon, bem como as fontes de inteligência de segurança padrão do setor, como a Recorded Future e a Agência de Segurança Cibernética e de Infraestrutura (CISA). Por exemplo, o Amazon Inspector pode fornecer os nomes de kits de malware conhecidos usados para explorar uma vulnerabilidade. Para obter mais informações, consulte Vulnerability Intelligence.

  • Cada GuardDuty descoberta tem um nível de severidade e um valor atribuídos que refletem o risco potencial da descoberta para seu ambiente. Esse nível e valor são determinados pelos engenheiros de segurança da AWS . Por exemplo, um nível de gravidade High indica que um recurso está comprometido e está sendo usado ativamente para fins não autorizados. Recomendamos que você trate uma GuardDuty constatação de High gravidade como uma prioridade e corrija imediatamente para evitar mais uso não autorizado.

  • A severidade de uma descoberta de controle CSPM do Security Hub é determinada pela dificuldade de exploração e pela probabilidade de comprometimento. A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça. A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus recursos ou de seus recursos Serviços da AWS .

Para ajustar as descobertas, você pode suprimir ou arquivar descobertas específicas diretamente no respectivo console do serviço ou usando a API do serviço. Além disso, você pode fazer alterações nas descobertas no CSPM do Security Hub usando regras de automação. GuardDuty e as descobertas do Amazon Inspector são enviadas automaticamente para o Security Hub CSPM. Você pode usar regras de automação para atualizar automaticamente (como alterar a gravidade) ou suprimir descobertas quase em tempo real, com base nos critérios definidos por você. Ao criar regras de automação, recomendamos adicionar contexto à descrição da regra, como a data da criação ou modificação, quem a criou e por que a regra é necessária. Essas informações geralmente são úteis para uso posterior.