本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评测安全调查发现并确定其优先顺序
有效漏洞管理计划的一个关键组成部分是能够评测安全调查发现并确定其优先顺序。这需要结合上下文信息、组织历史以及调优检测系统。确定安全调查发现的优先顺序有助于确定响应级别的适当速度。
对于 Amazon Inspector 和 Amazon GuardDuty,调查结果包含严重性标签或分数。 AWS Security Hub CSPM我们建议优先调查Security Hub CSPM中的所有关键和高严重性发现,包括与基础安全最佳实践 (FSBP) 标准、Amazon Inspector 和相关的调查结果。 GuardDuty调查发现严重性标签按以下方式确定评分:
-
Amazon Inspector 评分是每个调查发现高度情境化的评分。其通过将通用漏洞评分系统(CVSS)基本评分信息与网络可达性结果和可利用性数据关联进行计算。使用此评分,您可以确定调查发现的优先顺序,将重点放在最关键的调查发现和脆弱的资源上。除了评分外,Amazon Inspector 还提供有关常见漏洞和风险(CVE)
的增强漏洞情报。这是 Amazon 提供的有关 CVE 的可用情报以及 Recorded Future 和美国网络安全与基础设施安全局(CISA)等行业标准安全情报来源的汇总。例如,Amazon Inspector 可提供用于利用漏洞的已知恶意软件工具包的名称。有关更多信息,请参阅 Vulnerability Intelligence。 -
每个 GuardDuty 发现都有指定的严重级别和值,以反映该发现对您的环境的潜在风险。此级别和值由 AWS 安全工程师确定。例如,
High严重性级别表示资源已泄露,并且正在被主动用于未经授权的目的。我们建议您将High严重性 GuardDuty 发现作为优先事项,并立即采取补救措施,以防止进一步未经授权的使用。 -
Sec urity Hub CSPM 控制发现的严重性取决于漏洞利用的难度和入侵的可能性。难度取决于利用弱点执行威胁场景所需的复杂程度。泄露的可能性表明威胁情景导致您的 AWS 服务 或资源中断或泄露的可能性有多大。
要调优调查发现,您可以直接在相应的服务控制台中或使用服务的 API 来抑制或存档特定的调查发现。此外,您可以使用自动化规则更改 Security Hub CSPM 中的搜索结果。 GuardDuty 而且 Amazon Inspector 的调查结果会自动发送到 Security Hub CSPM。您可以根据定义的标准,使用自动化规则以近实时的方式自动更新(例如更改严重性)或抑制调查发现。在创建自动化规则时,我们建议对规则描述添加上下文,例如创建或修改日期、创建该规则的人员以及需要该规则的原因。这些信息通常有助于将来参考。
