本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SEC04-BP04 針對不合規資源實施補救措施
您的偵測控制可能針對不符合您組態需求的資源發出提醒。您可以手動或自動實施以程式設計方式定義的補救措施,以修正這些資源並協助盡可能將影響降到最低。以程式設計方式定義補救措施時,您可以採取快速且一致的行動。
雖然自動化可以增強安全操作,但您應謹慎實作和管理自動化程序。 設置適當的監督和控制機制,以確認自動化回應是否有效、準確,且合乎組織政策和風險偏好。
預期成果:您會定義資源組態標準,以及在偵測到資源不合規時的修復步驟。在可能的情況下,您已透過程式設計方式定義補救措施,以供人員手動或透過自動化方式啟動。已設置偵測系統,其可識別不合規的資源,並在由安全人員監控的集中式工具中發布提醒。這些工具支援手動或自動執行程式設計的補救措施。自動化補救措施設有適當的監督和控制機制來控管理其使用。
常見的反模式:
-
您實作自動化,但未徹底測試和驗證補救動作。這可能會導致意外的後果,例如中斷正當的業務營運或導致系統不穩定。
-
您透過自動化改善回應時間和程序,但未設置適當的監控與機制,無法在需要時允許人為介入和判斷。
-
您只仰賴補救措施,而不是將補救措施視為更廣泛的事件回應和復原計畫的一部分。
建立此最佳實務的優勢:自動化補救措施能夠比手動流程更快回應組態錯誤,進而有助於將可能對業務造成的影響降至最低,並且減少意外使用的機會。當您以程式設計方式定義補救措施時,就能一致套用這些措施,進而降低人為錯誤的風險。自動化還可同時處理更大量的提醒,這點對於大規模操作的環境來說尤其重要。
未建立此最佳實務時的曝險等級:中
實作指引
如 SEC01-BP03 識別和驗證控制目標 中所述,AWS Config
有些不合規資源的情況獨特,需要人為判斷來進行修復,有些情況則有標準回應,您可透過程式設計方式定義這類回應。例如,對於設定錯誤的 VPC 安全群組,其標準回應可能是移除不允許的規則並通知擁有者。您可以在 AWS Lambda
定義所需的補救措施後,您就可以決定您偏好的補救措施實施方法。AWS Config 可以為您實施補救措施。如果您使用 Security Hub,則可透過自訂動作來執行此操作,該動作會將調查結果資訊發布至 Amazon EventBridge
對於程式化的補救措施,建議您留存所執行動作的完整日誌和稽核,以及其結果。檢閱並分析這些日誌,以評估自動化流程的有效性,並識別改進之處。擷取 Amazon CloudWatch Logs 中的日誌,以及 Security Hub 中做為調查結果備註的修復結果。
一開始,請考慮 AWS 上的自動化安全性回應
實作步驟
-
分析提醒並排定優先順序。
-
將來自各種不同 AWS 服務的安全提醒合併到 Security Hub 中,以提供集中查看、排定優先順序和修復的方式。
-
-
制定補救措施。
-
使用 Systems Manager 和 AWS Lambda 等服務來執行程式化的補救措施。
-
-
設定實施補救措施的方式。
-
使用 Systems Manager 定義將調查結果發布到 EventBridge 的自訂動作。設定手動或自動啟動這些動作。
-
您也可以使用 Amazon Simple Notification Service (SNS)
傳送通知和提醒給相關的利害關係人 (例如,安全團隊或事件回應團隊),以便在必要時進行人為介入或向上呈報。
-
-
檢閱並分析補救措施日誌,以了解有效性和改進之處。
-
將日誌輸出傳送至 CloudWatch Logs。擷取 Security Hub 中做為調查結果備註的結果。
-
資源
相關的最佳實務:
相關文件:
相關範例:
相關工具: