Security Hub 中的暴露問題清單 - AWS Security Hub
公開調查結果的運作方式公開調查結果的元件嚴重性分類公開調查結果的優點公開調查結果的來源最佳實務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 中的暴露問題清單

Security Hub 中的公開調查結果代表多個安全訊號的相互關聯,這些訊號可識別您 AWS 環境中的潛在安全風險。公開調查結果透過自動分析漏洞、組態、威脅和資源關係的組合,協助您了解安全風險並排定優先順序。曝光問題清單包含特徵和訊號。訊號可以包含一或多個類型的曝光特徵。當來自 Security Hub CSPM、Amazon Inspector、GuardDuty、Macie 或其他 AWS 服務的訊號指出存在暴露時,Security Hub 會產生暴露調查結果。資源最多可以是一個暴露調查結果中的主要資源。如果資源沒有任何暴露特徵或特徵不足,Security Hub 不會為該資源產生暴露調查結果。

公開調查結果的運作方式

Security Hub 會透過以下方式產生公開調查結果:

  • 分析來自多個 AWS 安全服務的訊號:Security Hub 會持續收集和分析來自多個安全服務 AWS 的安全訊號。它會從 GuardDuty 擷取問題清單以進行威脅偵測、Amazon Inspector 用於漏洞評估、Security Hub CSPM 用於組態檢查,以及 Macie 用於敏感資料暴露。這些訊號是透過進階相互關聯引擎處理,以識別潛在的安全風險。

  • 評估資源組態和關係:系統會根據安全最佳實務執行資源組態的詳細評估。它會檢查服務特定的設定、合規要求和安全控制。此分析有助於識別在與其他因素結合時可能導致安全漏洞的錯誤組態。

  • 評估網路連線能力:暴露問題清單的一個重要組成部分是評估網路連線能力。系統會評估網際網路暴露和內部網路存取路徑。它會分析安全群組組態和網路 ACL 設定,以判斷潛在的攻擊向量。此分析有助於識別可能不小心暴露於未經授權存取的資源。

  • 相互關聯相關的安全問題:相互關聯引擎會映射 AWS 資源之間的關係,分析它們如何互動並識別潛在的安全問題。它會檢查 IAM 許可、角色和資源存取模式,以了解更廣泛的安全內容。此程序有助於識別由於看似無害的個別組態組合而可能存在的安全風險。

公開調查結果的元件

每個暴露問題清單包括:

  • 潛在安全風險的標題和描述 - 每個公開調查結果都包含明確、描述性的標題,可立即傳達安全風險的性質。描述提供有關潛在安全影響、受影響的資源,以及公開的更廣泛內容的詳細資訊。此資訊有助於安全團隊快速了解和評估風險。

  • 嚴重性分類 (關鍵、高、中、低)

    • 嚴重嚴重性表示由於高度可能的入侵和重大的潛在影響,需要立即關注。這些調查結果通常代表容易發現和可利用的漏洞。

    • 高嚴重性表示需要優先關注,具有中度到高度的入侵可能性和重大的潛在影響。這些調查結果可能相對容易利用,但可能需要特定條件。

    • 嚴重性適中表示需要排程的注意力,其入侵可能性較低且潛在影響中等。這些調查結果通常需要更複雜的利用方法。

    • 低嚴重性表示需要定期關注,但對漏洞的潛在影響有限。這些調查結果通常難以利用,並呈現最低風險。

  • 導致曝光的貢獻特徵:貢獻特徵代表導致曝光調查結果的主要因素。這些包括直接安全漏洞、組態問題、網路暴露條件和資源許可設定。每個特徵都會提供有關它如何對整體安全風險做出貢獻的特定詳細資訊。

  • 攻擊路徑視覺化:攻擊路徑視覺化提供互動式圖表,顯示潛在攻擊者如何利用已識別的暴露。它會映射資源關係、網路路徑和潛在影響流程,協助安全團隊了解風險的完整範圍,並規劃有效的修補策略。

  • 詳細的修補指引:每個暴露調查結果都包含詳細的修補指引,其中包含具體、可行的步驟,以解決已識別的風險。本指南包含最佳實務建議、組態校正步驟和優先動作項目。此指引專為特定暴露案例量身打造,並考慮涉及 AWS 的服務。

  • 資源組態詳細資訊:建立調查結果時的資源組態,以及 Security Hub 資源庫存儀表板中資源的目前組態。

  • 提供其他安全內容的上下文特徵:上下文特徵是由 Security Hub 識別但未用於建立公開調查結果的其他安全標記。

嚴重性分類

公開調查結果的分類依據如下:

  • 易於探索

  • 易於利用

  • 入侵的可能性

  • 公有意識

  • 潛在影響

如需詳細資訊,請參閱暴露問題清單嚴重性分類

公開調查結果的優點

  • 透過自動化相互關聯減少手動分析:公開調查結果透過自動化相互關聯和智慧風險優先順序,大幅減少安全性分析所需的時間和精力。Security Hub 會持續監控您的 AWS 環境,自動識別和關聯手動審核可能遺漏的安全風險。

  • 安全風險的優先順序檢視:Security Hub 採用複雜的風險評估演算法,根據嚴重性、影響、資源重要性和入侵可能性來排定暴露的優先順序。這有助於安全團隊先專注於最重要的風險,從而提高安全操作的效率。

公開調查結果的來源

公開調查結果包含來自以下項目的資料:

  • Amazon GuardDuty 整合可在公開調查結果內提供持續的威脅偵測功能。它會監控惡意活動、潛在的帳戶入侵和行為異常。系統會將這些威脅調查結果納入更廣泛的暴露分析,協助識別威脅何時與其他安全問題結合,以產生重大風險。

  • Amazon Inspector 會將重要的漏洞評估資料提供給公開調查結果。它提供有關網路連線能力、軟體漏洞和安全最佳實務違規的詳細資訊。此整合有助於了解如何透過已識別的攻擊路徑利用漏洞。

  • AWS Security Hub CSPM 可確保在公開分析中考慮組態合規和安全標準。它根據已建立的安全控制和最佳實務評估資源,為了解以組態為基礎的風險奠定基礎。

  • Amazon Macie 使用敏感資料探索和分類功能來增強公開調查結果。它可識別您 AWS 環境中的敏感資料,並評估潛在的隱私權風險,協助了解已識別暴露的潛在影響。

最佳實務

  • 定期審查暴露調查結果:有效的暴露管理需要結構化的審查程序。組織應每日審查關鍵暴露、每週評估整體暴露狀態、每月趨勢分析,以及每季安全性狀態評估。這種分層方法可確保適當關注立即風險和長期安全趨勢。

  • 排定關鍵和高嚴重性暴露的優先順序:成功的暴露管理取決於有效的風險優先順序。組織應先專注於關鍵暴露,同時考慮資源重要性和業務影響。這種以風險為基礎的方法有助於確保安全工作符合業務優先事項,並最大限度地降低風險。

  • 實作建議的修補步驟:暴露修補應遵循系統性方法。組織應謹慎實作建議的修補步驟、維護詳細的變更文件、徹底測試修改,以及驗證實作修正的有效性。這種有條不紊的方法有助於確保成功降低風險,同時避免意外的後果。

  • 設定自動化回應規則:最大化公開調查結果的值需要有效的自動化。組織應實作自動化回應規則、設定適當的通知、建立有效的工作流程,以及維護全面的稽核線索。此自動化有助於確保一致且及時地回應已識別的暴露,同時減少手動工作量。