SEC04-BP04 Iniciar a correção de recursos fora de conformidade
Seus controles de detecção podem emitir alertas sobre recursos que não estão em conformidade com seus requisitos de configuração. É possível iniciar correções definidas de maneira programática, tanto manual quanto automaticamente, para corrigir esses recursos e ajudar a minimizar possíveis impactos. Definir correções programaticamente permite tomar medidas rápidas e consistentes.
Embora a automação possa aprimorar as operações de segurança, você deve implementá-la e gerenciá-la com cuidado. Estabeleça mecanismos apropriados de supervisão e controle para verificar se as respostas automatizadas são eficazes e precisas e estão alinhadas com as políticas organizacionais e a propensão ao risco.
Resultado desejado: você define os padrões de configuração de recursos junto com as etapas de correção quando os recursos são detectados como fora de conformidade. Sempre que possível, você definiu as correções programaticamente para que elas possam ser iniciadas de modo manual ou por meio de automação. Existem sistemas de detecção para identificar recursos fora de conformidade e publicar alertas em ferramentas centralizadas que são monitoradas por suas equipes de segurança. Essas ferramentas comportam a execução das correções programáticas, tanto manual quanto automaticamente. As correções automáticas têm mecanismos apropriados de supervisão e controle para governar o respectivo uso.
Práticas comuns que devem ser evitadas:
-
Você implementa a automação, mas não consegue testar e validar minuciosamente as ações de correção. Isso pode resultar em consequências indesejadas, como interrupção de operações comerciais legítimas ou instabilidade no sistema.
-
Você melhora os tempos de resposta e os procedimentos por meio da automação, mas sem monitoramento e mecanismos adequados que permitam a intervenção e avaliação humanas quando necessário.
-
Você depende exclusivamente de correções, em vez de tê-las como parte de um programa mais amplo de resposta e recuperação de incidentes.
Benefícios de implementar esta prática recomendada: as correções automáticas podem responder a configurações incorretas mais rapidamente do que os processos manuais, o que ajuda a minimizar possíveis impactos nos negócios e reduzir a janela de oportunidade para usos não intencionais. Quando você define as remediações de forma programática, elas são aplicadas de forma consistente, o que reduz o risco de erro humano. A automação também pode lidar com um volume maior de alertas de forma simultânea, o que é particularmente importante em ambientes que operam em grande escala.
Nível de risco exposto se esta prática recomendada não for estabelecida: Médio
Orientação para implementação
Conforme descrito em SEC01-BP03 Identificar e validar objetivos de controle, serviços como AWS Config
Embora algumas situações em que há recursos fora de conformidade sejam únicas e exijam avaliação humana para ser corrigidas, outras têm uma resposta padrão que você pode definir programaticamente. Por exemplo, uma resposta padrão a um grupo de segurança da VPC configurado incorretamente pode ser remover as regras não permitidas e notificar o responsável. As respostas podem ser definidas em funções do AWS Lambda
Depois de definir a remediação desejada, você poderá determinar seus meios preferidos para iniciá-la. O AWS Config pode iniciar remediações para você. Se você estiver usando o Security Hub, poderá fazer isso por meio de ações personalizadas que publicam as informações de descoberta no Amazon EventBridge
Para remediação programática, recomendamos que manter logs e auditorias abrangentes das ações tomadas, bem como de seus resultados. Revise e analise esses logs para avaliar a eficácia dos processos automatizados e identificar áreas de melhoria. Capture registros no Amazon CloudWatch Logs e resultados de correções como notas de descoberta no Security Hub.
Como ponto de partida, considere a Resposta de Segurança Automatizada na AWS
Etapas de implementação
-
Analise e priorize os alertas.
-
Consolide alertas de segurança de vários serviços da AWS no Security Hub para ter visibilidade, priorização e correção centralizadas.
-
-
Desenvolva correções.
-
Use serviços como o Systems Manager e o AWS Lambda para executar correções programáticas.
-
-
Configure como as correções são iniciadas.
-
Usando o Systems Manager, defina ações personalizadas para publicar descobertas no EventBridge. Configure essas ações para serem iniciadas manual ou automaticamente.
-
Também é possível usar o Amazon Simple Notification Service (SNS)
para enviar notificações e alertas às partes interessadas relevantes (como equipes de segurança ou equipes de resposta a incidentes) para intervenção manual ou escalação, se necessário.
-
-
Revise e analise os logs de correção em prol da eficácia e melhoria.
-
Envie a saída do log ao CloudWatch Logs. Capture resultados como notas de descoberta no Security Hub.
-
Recursos
Práticas recomendadas relacionadas:
Documentos relacionados:
Exemplos relacionados:
Ferramentas relacionadas: