本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评估安全发现并确定其优先级
有效的漏洞管理计划的一个关键组成部分是能够评估安全发现并确定其优先顺序。这就是上下文拉动、组织历史和调整检测系统的用武之地。确定安全发现的优先顺序有助于确定响应级别的适当速度。
对于 Amazon Inspector 和 Amazon GuardDuty,调查结果包含严重性标签或分数。 AWS Security Hub我们建议优先调查Security Hub中的所有关键和高严重性发现,包括与基础安全最佳实践 (FSBP) 标准、Amazon Inspector 和。 GuardDuty查找严重性标签是按以下方式确定分数:
-
Amazon Inspector 分数是每项发现的高度情境化分数。它是通过将通用漏洞评分系统 (CVSS) 基本分数信息与网络可访问性结果和可利用性数据关联来计算的。使用此分数,您可以对发现结果进行优先排序,将重点放在最关键的发现和脆弱的资源上。除了分数外,Amazon Inspector 还提供了有关常见漏洞和风险敞口 (CVE) 的增强型漏洞
情报。这是亚马逊提供的有关CVE的现有情报以及行业标准的安全情报来源(例如记录的未来和网络安全与基础设施安全局(CISA))的摘要。例如,Amazon Inspector 可以提供用于利用漏洞的已知恶意软件包的名称。有关更多信息,请参阅漏洞情报。 -
每个 GuardDuty 发现都有指定的严重级别和值,以反映该发现对您的环境的潜在风险。此级别和值由 AWS 安全工程师确定。例如,
High严重性级别表示资源已被泄露并被积极用于未经授权的目的。我们建议您将High严重性 GuardDuty 发现作为优先事项,并立即采取补救措施,以防止进一步未经授权的使用。 -
Security Hub 控制发现的严重性取决于漏洞利用的难度和入侵的可能性。难度取决于利用弱点执行威胁场景所需的复杂程度。泄露的可能性表明威胁情景导致您的 AWS 服务 或资源中断或泄露的可能性有多大。
要调整调查结果,您可以直接在相应的服务控制台中或使用服务的 API 来抑制或存档特定的调查结果。此外,您还可以使用自动化规则对 Security Hub 中的搜索结果进行更改。 GuardDuty Amazon Inspector 的调查结果会自动发送到 Security Hub。您可以使用自动化规则根据您定义的标准近乎实时地自动更新(例如更改严重性)或隐藏搜索结果。在创建自动化规则时,我们建议在规则描述中添加上下文,例如创建或修改日期、谁创建了规则以及为什么需要规则。这些信息通常有助于将来参考。
