本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
修复安全调查发现
在评测调查发现并确定其优先顺序之后,下一步行动是修复调查发现。您可以采取许多不同的措施来修复调查发现。对于软件漏洞,您可以更新操作系统或应用补丁。对于云配置调查发现,您可以更新资源配置。通常,您采取的修复措施可归为以下成果之一:
-
手动修复- 您可以手动修复漏洞,例如修改 AWS 资源的属性以启用加密。如果发现来自 Security Hub CSPM 中的托管支票,则该发现包括一个指向手动修复该发现的说明的链接。
-
可重复使用的构件:您可更新基础设施即代码(IaC)以修复漏洞,并知晓其他人可从类似的解决方案受益。考虑将更新后的 IaC 和解决方案的简要摘要上传到内部共享代码存储库。
-
自动修复:通过您创建的机制自动修复漏洞。
-
管线控制:您在持续集成和持续交付(CI/CD)管线中应用控制措施以防止在存在漏洞时进行部署。
-
可接受的风险:您不采取任何措施或不实施补偿性控制措施,并且您接受存在漏洞带来的风险。在风险注册表等专用位置跟踪可接受的风险。
-
误报:您没有采取任何措施,因为您已确定该调查发现并非正确识别的漏洞。
您可以采取的各种措施以及可用于修复漏洞的工具的完整列表不在本指南的讨论范围之内。但是,有一些值得注意的服务和工具可以帮助您大规模修复漏洞,包括:
-
Patch Manager 是一项功能 AWS Systems Manager,它可以自动使用与安全相关的更新和其他类型的更新来修补托管节点。您可以使用 Patch Manager 来应用操作系统和应用程序的补丁。
-
AWS Firewall Manager可帮助您在中的账户和应用程序中集中配置和管理防火墙规则 AWS Organizations。随着新应用程序的创建,Firewall Manager 通过强制执行一组通用的安全规则,更轻松地使新的应用程序和资源合规。
-
开@@ 启自动安全响应 AWS
是一种与 Security Hub CSPM 配合使用的 AWS 解决方案,可根据行业合规标准和安全威胁最佳实践提供预定义的响应和补救措施。
