Definir a propriedade das descobertas de segurança. - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Definir a propriedade das descobertas de segurança.

Definir um modelo de propriedade para fazer a triagem das descobertas de segurança pode ser um desafio, mas não precisa ser. O cenário de segurança muda constantemente, e os profissionais devem ser flexíveis para se adaptar a essas mudanças. Adote uma abordagem flexível para desenvolver seu modelo de propriedade para descobertas de segurança. Seu modelo inicial deve permitir que suas equipes ajam imediatamente. Recomendamos começar com a lógica básica de propriedade e refiná-la ao longo do tempo. Se você demorar para definir os critérios de propriedade perfeitos, o número de descobertas de segurança continuará crescendo.

Para facilitar a atribuição das descobertas às equipes e recursos apropriados, recomendamos a integração AWS Security Hub CSPM com qualquer sistema existente que suas equipes usem para gerenciar suas tarefas diárias. Por exemplo, você pode integrar o Security Hub CSPM com sistemas de gerenciamento de eventos e informações de segurança (SIEM) ou sistemas de backlog e emissão de bilhetes de produtos. Para obter mais informações, consulte Preparar para atribuir descobertas de segurança neste guia.

Confira a seguir um exemplo de um modelo de propriedade que você pode usar como ponto de partida:

  • A equipe de segurança analisa ameaças possivelmente ativas e ajuda a avaliar e priorizar as descobertas de segurança. A equipe de segurança tem a experiência e as ferramentas para avaliar adequadamente o contexto. Eles entendem os dados adicionais relacionados à segurança que os ajudam a avaliar e priorizar vulnerabilidades e investigar eventos de detecção de ameaças. Se for necessária a gravidade da descoberta ou um ajuste adicional, consulte a seção Avaliar e priorizar as descobertas de segurança deste guia. Para ver um exemplo, consulte Exemplo de equipe de segurança neste guia.

    A equipe de segurança analisa as descobertas do Security Hub CSPM por meio de um sistema SIEM.

  • Distribua as descobertas de segurança entre as equipes da nuvem e de aplicações: conforme analisado na seção Distribuir propriedade de segurança, a equipe que tem acesso para configurar o recurso é responsável por sua configuração segura. As equipes de aplicações são responsáveis pelas descobertas de segurança relacionadas aos recursos que elas criam e configuram, e a equipe da nuvem é responsável pelas descobertas de segurança relacionadas às configurações de grande alcance. Na maioria dos casos, as equipes de aplicativos não têm acesso para alterar configurações abrangentes Serviços da AWS, como políticas de controle de serviço (SCPs) AWS Control Tower, configurações de VPC AWS Organizations relacionadas à rede e o IAM Identity Center.AWS

    Para ambientes com várias contas que separam aplicações em contas dedicadas, geralmente é possível integrar as descobertas relacionadas à segurança da conta ao sistema de geração de tíquetes ou backlog da aplicação. Com base nesse sistema, a equipe da nuvem ou a equipe de aplicação pode resolver a descoberta. Para ver exemplos, consulte Exemplo de equipe da nuvem ou Exemplo de equipe de aplicação neste guia.

    ): As equipes de aplicativos ou de nuvem corrigem as descobertas de segurança do CSPM do Security Hub por meio de um backlog.

  • Atribua as descobertas restantes e não resolvidas à equipe da nuvem: as descobertas remanescentes podem estar relacionadas a configurações padrão ou a configurações de grande alcance que a equipe de nuvem pode resolver. Essa equipe provavelmente tem o maior conhecimento do histórico e acesso para resolver a descoberta. No geral, costuma ser um subconjunto significativamente menor do total das descobertas.