SEC04-BP04 Avvio della riparazione delle risorse non conformi - Pilastro della sicurezza
Guida all'implementazioneRisorse

SEC04-BP04 Avvio della riparazione delle risorse non conformi

I controlli investigativi possono segnalare la presenza di risorse non conformi ai requisiti di configurazione. È possibile avviare interventi correttivi definiti in modo programmatico, sia manualmente sia automaticamente, per riparare queste risorse e ridurre al minimo gli impatti potenziali. Quando definisci le correzioni in modo programmatico, puoi intraprendere azioni rapide e coerenti.

Sebbene l'automazione possa migliorare le operazioni di sicurezza, occorre implementarla e gestirla con attenzione.  Implementa meccanismi di supervisione e controllo opportuni per verificare che le risposte automatizzate siano efficaci, accurate e in linea con le policy organizzative e la propensione al rischio.

Risultato desiderato: definizione di standard di configurazione delle risorse insieme a passaggi correttivi in caso di rilevamento di una mancata conformità. Dove possibile, hai definito gli interventi correttivi in modo programmatico, in modo da avviarli manualmente o attraverso l'automazione. Sono disponibili sistemi di rilevamento per identificare le risorse non conformi e pubblicare avvisi in strumenti centralizzati monitorati dal personale di sicurezza. Questi strumenti supportano l'esecuzione degli interventi correttivi programmatici, manualmente o automaticamente. Le soluzioni automatiche dispongono di meccanismi di supervisione e controllo adeguati per regolarne l'utilizzo.

Anti-pattern comuni:

  • Automazione implementata, ma non si riescono a testare e convalidare a fondo le azioni correttive. Ciò può comportare conseguenze indesiderate, come l'interruzione delle operazioni aziendali legittime o l'instabilità del sistema.

  • L'automazione migliora tempi e procedure di risposta, ma senza un monitoraggio adeguato e senza meccanismi che consentano l'intervento umano e la valutazione, quando necessario.

  • Ci si affida esclusivamente agli interventi correttivi, senza considerarli come parte di un programma più ampio di risposta agli incidenti e di ripristino.

Vantaggi dell'adozione di questa best practice: gli interventi correttivi automatici possono rispondere alle configurazioni errate più rapidamente rispetto ai processi manuali, il che contribuisce a ridurre al minimo i potenziali impatti aziendali e a ridurre la finestra di opportunità per usi indesiderati. Nel definire gli interventi correttivi in modo programmatico, questi vengono applicate in modo coerente, il che riduce il rischio di errore umano. L'automazione è altresì in grado di gestire un volume maggiore di avvisi contemporaneamente, il che è molto importante negli ambienti che operano su larga scala.  

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Come illustrato in SEC01-BP03 Identificazione e convalida degli obiettivi di controllo, servizi come AWS Config ed AWS Security Hub aiutano a monitorare la configurazione delle risorse nei tuoi account per verificarne la conformità ai tuoi requisiti. Quando vengono rilevate risorse non conformi, servizi come AWS Security Hub possono aiutare a instradare gli avvisi in modo appropriato e ad apportare le correzioni necessarie. Queste soluzioni offrono agli investigatori della sicurezza il punto centrale per il monitoraggio dei problemi e l'adozione di misure correttive.

Mentre alcune situazioni di non conformità delle risorse sono uniche e la loro risoluzione richiede il giudizio umano, altre situazioni hanno una risposta standard che si può definire in maniera programmatica. Ad esempio, una risposta standard a un gruppo di sicurezza VPC configurato in modo errato potrebbe consistere nella rimozione delle regole non consentite e della notifica al proprietario. È possibile definire le risposte nelle funzioni di AWS Lambda, nei documenti di AWS Systems Manager Automation o tramite altri ambienti di codice di propria preferenza. Assicurati che l'ambiente sia in grado di autenticarsi ad AWS utilizzando un ruolo IAM con il minor numero di autorizzazioni necessarie per intraprendere un'azione correttiva.

Una volta definita la correzione desiderata, è possibile determinare i mezzi preferiti per avviarla. AWS Config può avviare le azioni correttive per tuo conto. Se utilizzi Security Hub, puoi farlo tramite le azioni personalizzate, che pubblicano le informazioni sugli esiti in Amazon EventBridge. Una regola EventBridge può quindi avviare l'azione correttiva. È possibile configurare le correzioni tramite Security Hub in modo che l'esecuzione sia automatica o manuale. 

Per le azioni correttive programmatiche, ti consigliamo di disporre di log e audit completi delle azioni intraprese e dei relativi risultati. Rivedi e analizza questi log per valutare l'efficacia dei processi automatizzati e identificare le aree di miglioramento. Acquisisci i log in Amazon CloudWatch Logs e i risultati delle azioni correttive sotto forma di note sugli esiti in Security Hub.

Parti prendendo in considerazione la risposta di sicurezza automatizzata su AWS, che offre soluzioni predefinite per risolvere gli errori di configurazione di sicurezza più comuni.

Passaggi dell'implementazione

  1. Analizza e assegna priorità agli avvisi.

    1. Consolida gli avvisi di sicurezza provenienti da vari servizi AWS in Security Hub per una visibilità, una definizione delle priorità e una correzione centralizzate.

  2. Sviluppa soluzioni correttive.

    1. Utilizza servizi come Systems Manager e AWS Lambda per eseguire correzioni programmatiche.

  3. Configura le modalità di avvio delle correzioni.

    1. Utilizzando Systems Manager, definisci le azioni personalizzate che pubblicano gli esiti su EventBridge. Configura queste azioni in modo l'avvio avvenga manualmente o automaticamente.

    2. Puoi anche utilizzare Amazon Simple Notification Service (SNS) per inviare notifiche e avvisi alle parti interessate (come il team di sicurezza o i team di risposta agli incidenti) per l'intervento manuale o l'escalation, laddove necessario.

  4. Rivedi e analizza i log delle correzioni per verificarne efficacia e miglioramenti.

    1. Invia l'output del log a CloudWatch Logs. Acquisisci i risultati come note sull'esito in Security Hub.

Risorse

Best practice correlate:

Documenti correlati:

Esempi correlati:

Strumenti correlati: