本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
定义安全调查发现的责任归属
定义责任归属模式来对安全调查发现进行分类可能具有挑战性,但并非一定如此。安全格局瞬息万变,从业人员必须灵活地适应这些变化。采用灵活的方法来制定安全调查发现的责任归属模式。您的初始模式应使团队能够立即采取行动。我们建议从基本的责任归属逻辑入手,并随着时间的推移完善该逻辑。如果您因追求完美的责任归属标准而延迟定义,则安全调查发现的数量将持续增加。
为了便于将调查结果分配给适当的团队和资源,我们建议 AWS Security Hub CSPM 与您的团队用来管理其日常任务的任何现有系统集成。例如,您可以将 Security Hub CSPM 与安全信息和事件管理 (SIEM) 系统或产品待办事项和票务系统集成。有关更多信息,请参阅本指南中的准备分配安全调查发现。
以下是可用作起始点的责任归属模式示例:
-
安全团队会审查潜在的活跃威胁,帮助评测安全调查发现并确定其优先顺序。安全团队拥有正确评估背景的专业知识和工具。团队了解其他与安全相关的数据,这些数据可以帮助他们评测漏洞并确定其优先顺序,以及调查威胁检测事件。如果需要调查发现严重性或其他调优,请参阅本指南中的评测安全调查发现并确定其优先顺序一节。例如,请参阅本指南中的安全团队示例。
-
在云和应用程序团队之间分配安全调查发现:如分配安全责任归属一节所述,有权配置资源的团队负责其安全配置。应用程序团队负责与其构建和配置的资源相关的安全调查发现,而云团队则负责与覆盖范围广泛的配置相关的安全调查发现。在大多数情况下,应用团队无权更改范围广泛的配置,例如 AWS Control Tower中的服务控制策略 (SCPs) AWS 服务、与网络相关的 VPC 配置AWS 和 IAM I
dentity Center。 AWS Organizations 对于将应用程序分离到专用账户的多账户环境,您通常可以将账户与安全相关的调查发现集成到应用程序的待办事项或工单系统中。通过该系统,云团队或应用程序团队可以解决该调查发现。有关示例,请参阅本指南中的云团队示例或应用程序团队示例。
-
将剩余的、未解决的调查发现分配给云团队:剩余的调查发现可能与默认设置或覆盖范围广泛的配置有关,云团队可以进行处理。该团队可能拥有最多的历史知识和解决该调查发现所需的权限。总体而言,这通常只是所有调查发现中很小的一部分。
