Corrija as descobertas de segurança - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Corrija as descobertas de segurança

Depois de avaliar e priorizar uma descoberta, a próxima ação é remediar a descoberta. Há muitas ações diferentes que você pode tomar para remediar uma descoberta. Para vulnerabilidades de software, você pode atualizar o sistema operacional ou aplicar um patch. Para descobrir a configuração da nuvem, você pode atualizar a configuração do recurso. Em geral, as ações que você toma para remediar podem ser agrupadas em um dos seguintes resultados:

  • Remediação manual Você fornece manualmente uma correção para a vulnerabilidade, como modificar as propriedades de um AWS recurso para ativar a criptografia. Se a descoberta for de uma verificação gerenciada no Security Hub, a descoberta incluirá um link para instruções para remediar manualmente a descoberta.

  • Artefato reutilizável — Você atualiza a infraestrutura como código (IaC) para corrigir a vulnerabilidade e sabe que outras pessoas poderiam se beneficiar de uma solução semelhante. Considere fazer o upload do IaC atualizado e de um breve resumo da resolução em um repositório interno de código compartilhado.

  • Remediação automatizada A vulnerabilidade é corrigida automaticamente por meio de mecanismos que você criou.

  • Controle de pipeline — Você aplica um controle em seu pipeline de integração contínua e entrega contínua (CI/CD) que impede a implantação se a vulnerabilidade estiver presente.

  • Risco aceito — Você não realiza nenhuma ação nem implementa um controle compensatório e aceita o risco que a vulnerabilidade apresenta. Rastreie o risco aceito em um local dedicado, como um registro de riscos.

  • Falso positivo — Você não realiza nenhuma ação porque determinou que a descoberta não identificou corretamente uma vulnerabilidade.

Uma lista completa das várias ações que você pode tomar e das ferramentas que você pode usar para corrigir uma vulnerabilidade está fora do escopo deste guia. No entanto, há alguns serviços e ferramentas que você pode ajudar a corrigir vulnerabilidades em grande escala que merecem destaque, incluindo:

  • O Patch Manager, um recurso do AWS Systems Manager, automatiza o processo de correção de nós gerenciados com atualizações relacionadas à segurança e outros tipos de atualizações. Você pode usar o Patch Manager para aplicar patches de sistemas operacionais e aplicativos.

  • AWS Firewall Managerajuda você a configurar e gerenciar centralmente as regras de firewall em todas as suas contas e aplicativos em AWS Organizations. À medida que novos aplicativos são criados, o Firewall Manager facilita a conformidade de novos aplicativos e recursos ao impor um conjunto comum de regras de segurança.

  • O Automated Security Response on AWS é uma AWS solução que funciona com o Security Hub e fornece ações predefinidas de resposta e remediação com base nos padrões de conformidade do setor e nas melhores práticas para ameaças à segurança.