SEC10-BP06 Strumenti di pre-installazione - Pilastro della sicurezza

SEC10-BP06 Strumenti di pre-installazione

Verifica che il team addetto alla sicurezza disponga degli strumenti giusti pre-implementati per ridurre i tempi di indagine fino al ripristino.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Per automatizzare la risposta di sicurezza e le funzioni operative, è possibile utilizzare un set completo di strumenti di. APIs AWS Puoi automatizzare completamente le funzionalità di gestione delle identità, sicurezza della rete, protezione dei dati e monitoraggio e distribuirle utilizzando metodi di sviluppo software comuni già esistenti. Quando crei l'automazione della sicurezza, il sistema può monitorare, rivedere e avviare una risposta, anziché far sì che le persone monitorino la tua posizione di sicurezza e reagiscano manualmente agli eventi.

Se i team di risposta agli incidenti continuano a rispondere agli avvisi nello stesso modo, rischiano il cosiddetto affaticamento dagli avvisi ("alert fatigue"). Ciò significa che, nel corso del tempo, il team può diventare desensibilizzato agli avvisi e commettere errori nella gestione di situazioni ordinarie o farsi sfuggire avvisi insoliti. L'automazione aiuta a evitare l'affaticamento dagli avvisi mediante funzioni che elaborano gli avvisi ripetitivi e ordinari, lasciando alle persone la gestione degli incidenti sensibili e univoci. L'integrazione di sistemi di rilevamento delle anomalie, come Amazon GuardDuty, AWS CloudTrail Insights e Amazon CloudWatch Anomaly Detection, può ridurre l'onere degli avvisi comuni basati su soglie.

Puoi migliorare i processi manuali automatizzando le fasi del processo a livello di programmazione. Dopo aver definito il modello di correzione di un evento, puoi scomporlo in una logica fruibile e scrivere il codice per eseguirla. Il team addetto alla risposta può quindi eseguire il codice per risolvere il problema. Nel corso del tempo, puoi automatizzare più fasi e, infine, gestire automaticamente intere classi di incidenti comuni.

Durante un'indagine di sicurezza, devi essere in grado di esaminare i log pertinenti per registrare e comprendere l'intera portata e la tempistica dell'incidente. I log servono anche per la generazione di avvisi, che indicano il verificarsi di determinate azioni di interesse. È fondamentale selezionare, attivare, memorizzare e impostare i meccanismi di query e recupero e impostare gli avvisi. Inoltre, una soluzione efficace per fornire gli strumenti di ricerca nei dati di log è Amazon Detective.

AWS offre oltre 200 servizi cloud e migliaia di funzionalità. Ti consigliamo di esaminare i servizi in grado di supportare e semplificare la tua strategia di risposta agli incidenti.

Oltre ai log, è necessario sviluppare e implementare una strategia di assegnazione tag. L'etichettatura può aiutare a fornire un contesto relativo allo scopo di una risorsa. AWS e può essere utilizzata anche per l'automazione.

Passaggi dell'implementazione

Seleziona e configura i log per analisi e avvisi

Consulta la seguente documentazione sulla configurazione dei log per la risposta agli incidenti:

Enable security services to support detection and response

AWS fornisce funzionalità native di investigazione, prevenzione e risposta e altri servizi possono essere utilizzati per progettare soluzioni di sicurezza personalizzate. Per un elenco dei servizi più pertinenti per la risposta agli incidenti di sicurezza, consulta Definizioni delle capacità del cloud.

Sviluppa e implementa una strategia di assegnazione tag

Ottenere informazioni contestuali sul caso d'uso aziendale e sugli stakeholder interni pertinenti che circondano una AWS risorsa può essere difficile. Un modo per farlo è utilizzare i tag, che assegnano metadati alle AWS risorse e sono costituiti da una chiave e da un valore definiti dall'utente. Puoi creare i tag per classificare le risorse per scopo, proprietario, ambiente, tipo di dati elaborati e altri criteri di tua scelta.

Una strategia di tagging coerente può velocizzare i tempi di risposta e ridurre al minimo il tempo dedicato al contesto organizzativo, poiché consente di identificare e distinguere rapidamente le informazioni contestuali su una risorsa. AWS I tag possono anche fungere da meccanismo per avviare le automazioni di risposta. Per maggiori dettagli su cosa taggare, consulta Etichettare le risorse. AWS Dovrai prima definire i tag nella tua organizzazione e quindi implementare e applicare questa strategia di tag. Per maggiori dettagli sull'implementazione e l'applicazione, consulta Implementazione della strategia di etichettatura AWS delle risorse utilizzando le politiche di AWS tag e le politiche di controllo dei servizi () SCPs.

Risorse

Best practice Well-Architected correlate:

Documenti correlati:

Esempi correlati: