Act on Critical Security Findings

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

Alarmas para hallazgos críticos de seguridad

Se recomienda configurar alertas para los mensajes de correo de resultados críticos enviados a través de Amazon SNS , o a través de integraciones que usan AWS Lambda a servicios de mensajería instantánea como Slack.

Centralización de hallazgos y toma de acciones ante esas alarmas

Asegúrese de que alguien de su organización esté actuando sobre hallazgos críticos de seguridad a medida que se detectan. La mejora de la postura de seguridad que los controles de detectives como GuardDuty proporcionan es sólo cuando hay alguien que analice los hallazgos (al menos los hallazgos críticos/de gravedad como un QuickWin), y toma medidas para remediar.

Una forma simple de visualizar centralmente los hallazgos críticos de seguridad y simplificar la configuración de estas alarmas para múltiples servicios es habilitar AWS Security Hub Para centralizar los hallazgos de seguridad y configurar notificaciones automáticas. (No hay costo para los primeros 10.000 eventos/cuenta/región/mes y el costo sobre esa capa gratuita es de solo $ 0,00003 por evento, ver precios al final de esta página)

Si ya tiene un Security Information and Event Management (SIEM) en su organización, también puede enviar los hallazgos de seguridad de GuardDuty y otras fuentes al SIEM, y lanzar alertas desde allí.

Cómo reaccionar

Si no sabe cómo actuar ante estos hallazgos críticos y cree que su cuenta puede estar comprometida, abra un ticket de soporte solicitando interactuar con el AWS Customer Incident Response Team (AWS CIRT) . El equipo del CIRT brinda asistencia gratuita sobre respuesta a incidentes para los clientes que tienen un incidente de seguridad activo. Si tiene Enterprise Support de AWS, también comuníquese con su AWS Technical Account Manager.

Ejemplos de hallazgos críticos sobre los que debe actuar de inmediato

  • Recibir una notificación de abuso de AWS (lo que significa que su cuenta está atacando a otro cliente de AWS, por lo tanto, probablemente esté comprometida)
  • Una clave de acceso expuesta (mediante notificación, Trusted Advisor)
  • Un hallazgo crítico de Amazon GuardDuty , como conexiones a Command & Control o un cliente TOR (que indica una conexión saliente a través de la red de anonimización, un indicador común de presencia de malware). Para más información consulte la documentación de GuardDuty

Mitigación de riesgos

  • Los controles de seguridad que identifican riesgos y controles de detección, sin que alguien (un ser humano) o algo (una automatización) tome medidas para investigar y contener dichas amenazas, no brindan seguridad adicional.

Guía para evaluar su grado de alineación

  • ¿Existe una persona o un equipo definido para esta tarea?
  • ¿Están capacitados para hacer el trabajo?
  • ¿Las alarmas están configuradas para que lleguen a más de una persona?
  • ¿Está centralizando los hallazgos de seguridad en AWS Security Hub para toda su organización y todas sus regiones?
  • ¿Sabía usted de la existencia del AWS CIRT?
  • ¿Puede su equipo diferenciar un riesgo de un incidente de Seguridad Activo?

Precios

https://aws.amazon.com/security-hub/pricing
El servicio tiene un período de prueba de 30 días (free trial)
El servicio tiene un sitio para verificar el uso actual y estimar el uso futuro.
El AWS Customer Incident Response Team (AWS CIRT) proporciona soporte gratuito en incidentes de seguridad activos.