User's blog

Automatize sua resposta de segurança em escala com o AWS Security Hub

Written by

Make.com Service User

in

A evolução da gestão centralizada de segurança na nuvem

A AWS lançou uma versão melhorada do AWS Security Hub, oferecendo novas formas para organizações gerenciarem e responderem a achados de segurança. O Security Hub aprimorado auxilia na melhoria da postura de segurança organizacional e simplifica operações de segurança em nuvem ao centralizar a gestão de segurança em todo o ambiente da Amazon Web Services (AWS).

O Security Hub transformou a maneira como as organizações tratam achados de segurança através de capacidades avançadas de automação, incluindo análise de risco em tempo real, correlação automática e contexto enriquecido. Essas funcionalidades permitem que as equipes priorizem problemas críticos e reduzam tempos de resposta.

A automação também garante que procedimentos de resposta sejam consistentes e que requisitos de conformidade sejam atendidos. O AWS Security Hub CSPM (Gerenciamento de Postura de Segurança em Nuvem) agora é parte integral dos mecanismos de detecção do Security Hub.

Visibilidade centralizada e priorização baseada em risco

O Security Hub oferece visibilidade centralizada através de múltiplos serviços de segurança da AWS, proporcionando uma visão unificada do ambiente em nuvem. Isso inclui visualizações de priorização baseada em risco, visualização de caminhos de ataque e análise de tendências que ajudam a compreender padrões de segurança ao longo do tempo.

Este é o terceiro artigo de uma série sobre as novas capacidades do Security Hub. Para contexto: a série anterior discutiu como o Security Hub unifica achados entre serviços da AWS para simplificar a gestão de risco, e também apresentou as etapas para realizar uma Prova de Conceito bem-sucedida.

Por que automação importa em segurança em nuvem

As organizações frequentemente operam em centenas de contas da AWS, múltiplas regiões e diversos serviços, cada um gerando achados que precisam ser triados, investigados e processados. Sem automação, equipes de segurança enfrentam alto volume de alertas, duplicação de esforço e risco de respostas atrasadas a questões críticas.

Processos manuais não conseguem acompanhar operações em nuvem. A automação transforma as operações de segurança de três formas fundamentais:

  • Filtragem e priorização: A automação filtra e prioriza achados conforme seus critérios, mostrando à equipe apenas alertas relevantes.
  • Resposta imediata: Quando problemas são detectados, respostas automatizadas disparam instantaneamente, sem necessidade de intervenção manual.
  • Consistência em escala: Ao gerenciar múltiplas contas da AWS, a automação aplica políticas e fluxos de trabalho consistentes através do seu ambiente, transferindo a equipe de segurança de “apagar incêndios” para gerenciamento proativo de risco.

Desenhando estratégias de roteamento para achados de segurança

Com o Security Hub configurado, é hora de desenhar uma estratégia de roteamento para seus achados e notificações. Ao projetar essa estratégia, questione se sua configuração atual do Security Hub atende seus requisitos de segurança. Considere se as automações do Security Hub podem ajudá-lo a atender frameworks de conformidade como NIST 800-53 e identifique KPIs e métricas para mensurar se sua estratégia de roteamento funciona.

As automações e respostas automáticas do Security Hub podem ajudar a cumprir esses requisitos, mas é crucial compreender como suas equipes de conformidade, respondentes de incidentes, pessoal de operações de segurança e demais stakeholders operam diariamente. Por exemplo: suas equipes usam o Console de Gerenciamento da AWS para o Security Hub regularmente? Ou você precisa enviar a maioria dos achados para ferramentas de gerenciamento de sistemas de TI (ITSM), como Jira ou ServiceNow, ou plataformas terceirizadas de orquestração, automação e resposta de segurança (SOAR)?

Em seguida, crie e mantenha um inventário de aplicações críticas. Isso ajuda a ajustar a severidade de achados baseado em contexto empresarial e seus playbooks de resposta a incidentes. Considere um cenário onde o Security Hub identifica uma vulnerabilidade de severidade média em uma instância de Elastic Compute Cloud. Isoladamente, isso pode não disparar ação imediata. Ao adicionar contexto empresarial — como objetivos estratégicos ou criticidade para o negócio — você pode descobrir que essa instância hospeda uma aplicação crítica de processamento de pagamentos, revelando o risco real. Implementando regras de automação do Security Hub com contexto enriquecido, esse achado pode ser elevado para severidade crítica e automaticamente roteado para ServiceNow para rastreamento imediato.

Além disso, usando automação do Security Hub com Amazon EventBridge, você pode disparar um documento de automação do AWS Systems Manager Automation para isolar a instância EC2 para trabalho forense de segurança.

Como o Security Hub oferece formato e esquema OCSF, você pode utilizar os extensos elementos de esquema que o OCSF oferece para direcionar achados para automação e ajudar sua organização a atender requisitos de estratégia de segurança.

Casos de uso em automação de segurança

As automações do Security Hub suportam diversos casos de uso. Converse com suas equipes para entender quais se aplicam às suas necessidades e objetivos de segurança:

Remediação automática de achados

Use remediação automática de achados para corrigir automaticamente problemas de segurança conforme são detectados. Padrões de suporte incluem remediação direta (disparar funções AWS Lambda para corrigir configurações incorretas), marcação de recursos (adicionar tags em recursos não conformes), correção de configuração (atualizar configurações de recursos para corresponder políticas de segurança) e ajuste de permissões (modificar políticas do AWS Identity and Access Management (IAM) para remover permissões excessivas).

Exemplo:

IF finding.type = "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
AND finding.title CONTAINS "S3 buckets should have server-side encryption enabled"
THEN invoke Lambda function "enable-s3-encryption"

Integração de achados em fluxo de trabalho

Integre achados em seus fluxos de trabalho roteando-os para as equipes e sistemas apropriados. Padrões de suporte incluem criação de tickets (gerar tickets em Jira ou ServiceNow para revisão manual), atribuição de equipes (rotear achados para equipes específicas baseado em propriedade de recursos) e roteamento baseado em severidade (direcionar achados críticos para resposta a incidentes, outros para filas regulares).

Exemplo:

IF finding.severity = "CRITICAL" AND finding.productName = "Amazon GuardDuty"
THEN send to SNS topic "security-incident-response-team"
ELSE IF finding.productFields.resourceOwner = "payments-team"
THEN send to SNS topic "payments-security-review"

Enriquecimento automático de achados

Use enriquecimento de achados para adicionar contexto que melhore eficiência de triagem. Padrões incluem adição de contexto de recursos (adicionar contexto empresarial, informações de proprietário e classificação de dados), análise histórica (adicionar informações sobre achados similares anteriores), pontuação de risco personalizada (calcular scores de risco customizados baseado em valor do ativo e contexto de ameaça) e correlação de vulnerabilidades (ligar achados a CVEs conhecidas ou inteligência de ameaças).

Controles de segurança customizados

Use controles de segurança customizados para atender requisitos específicos da organização. Padrões incluem imposição de política customizada (verificar conformidade com padrões internos), regras específicas do negócio (aplicar regras baseado em unidade de negócio ou tipo de aplicação), controles compensatórios (implementar alternativas quando controles primários não podem ser aplicados) e exceções temporárias (lidar com desvios aprovados de padrões de segurança).

Relatório de conformidade e coleta de evidência

Agilize documentação de conformidade e coleta de evidência. Padrões incluem captura de evidência (armazenar evidência de conformidade em buckets S3 designados), criação de trilha de auditoria (documentar ações de remediação para auditores), dashboard de conformidade (atualizar métricas de status de conformidade) e mapeamento regulatório (rotular achados com frameworks de conformidade relevantes).

Configurando automação no Security Hub

Passo 1: Ative o Security Hub e serviços integrados

Como primeiro passo, siga as instruções para ativar o Security Hub. Nota importante: o Security Hub é potencializado por Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM e Amazon Macie. Esses serviços também precisam ser habilitados para obter valor completo do Security Hub.

Passo 2: Crie regras de automação

Após o Security Hub coletar achados, você pode criar regras de automação para atualizar e rotear os achados para as equipes apropriadas. Os passos para criar regras de automação no Security Hub que atualizam detalhes de achados ou configurar integrações terceirizadas como Jira ou ServiceNow podem ser encontrados na documentação específica.

Com essas regras de automação, o Security Hub avalia achados contra a regra definida e então executa a atualização apropriada ou chama APIs para enviar achados a Jira ou ServiceNow. O Security Hub envia uma cópia de cada achado para o Amazon EventBridge, permitindo que você implemente suas próprias respostas automatizadas se necessário, para casos de uso fora do escopo das regras de automação do Security Hub.

Além de enviar cópias de cada achado para EventBridge, o Security Hub classifica e enriquece achados de segurança conforme contexto empresarial, entregando-os aos serviços downstream apropriados (como ferramentas ITSM) para resposta rápida.

Melhores práticas para automação de segurança

As regras de automação do Security Hub oferecem capacidades para atualização automática de achados e integração com outras ferramentas. Ao implementar regras de automação, siga estas melhores práticas:

  • Gestão centralizada: Apenas a conta administradora do Security Hub pode criar, editar, deletar e visualizar regras de automação. Garanta controle de acesso e gestão apropriados dessa conta.
  • Implantação regional: Regras de automação podem ser criadas em uma região da AWS e aplicadas através de regiões configuradas. Ao usar agregação de região, você pode apenas criar regras na região inicial.
  • Critérios específicos: Defina claramente os critérios que achados devem corresponder para a regra de automação aplicar. Isso pode incluir atributos de achados, níveis de severidade, tipos de recurso ou IDs de conta membro.
  • Entenda a ordem de regras: A ordem importa quando múltiplas regras aplicam ao mesmo achado ou campo de achado. O Security Hub aplica regras com valor numérico menor primeiro. Para mais informações, consulte a documentação sobre atualização da ordem de regras no Security Hub.
  • Descrições claras: Inclua descrição de regra detalhada para fornecer contexto aos respondentes e proprietários de recursos, explicando o propósito e ações esperadas da regra.
  • Use automação para eficiência: Use regras de automação para atualizar automaticamente campos de achados (como severidade e status de fluxo de trabalho), suprimir achados de baixa prioridade, ou criar tickets em ferramentas terceirizadas como Jira ou ServiceNow para achados correspondentes a atributos específicos.
  • Considere EventBridge para ações externas: Enquanto regras de automação lidam com atualizações internas de achados do Security Hub, use regras EventBridge para disparar ações fora do Security Hub, como invocar funções AWS Lambda ou enviar notificações para tópicos Amazon Simple Notification Service (Amazon SNS) baseado em achados específicos. As regras de automação têm efeito antes das regras EventBridge serem aplicadas. Para mais informações, consulte regras de automação em EventBridge.
  • Gerencie limites de regras: Existe um limite máximo de 100 regras de automação por conta administradora. Planeje sua criação de regras estrategicamente para permanecer dentro desse limite.
  • Revise e refine regularmente: Periodicamente revise regras de automação, especialmente regras de supressão, para garantir que permaneçam relevantes e efetivas, ajustando-as conforme sua postura de segurança evolui.

Consolidando operações de segurança em escala

As automações do Security Hub permitem triar, rotear e responder a achados mais rapidamente através de uma solução unificada de segurança em nuvem com gestão centralizada. Através da abordagem intuitiva e flexível de automação que o Security Hub oferece, suas equipes de segurança podem tomar decisões confiantes, baseadas em dados, sobre achados do Security Hub que se alinhem com a estratégia de segurança geral da organização.

Com as capacidades de automação do Security Hub, você pode gerenciar segurança centralmente através de centenas de contas enquanto suas equipes focam em problemas críticos que mais importam para seu negócio. Implementando as capacidades de automação descritas neste artigo, você consegue simplificar tempos de resposta em escala, reduzir esforço manual e melhorar sua postura de segurança geral através de fluxos de trabalho consistentes e automatizados.

Fonte

Streamline security response at scale with AWS Security Hub automation (https://aws.amazon.com/blogs/security/streamline-security-response-at-scale-with-aws-security-hub-automation/)

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts