Security Hub 中的暴露调查发现 - AmazonSecurity Hub
曝光结果如何运作曝光调查结果的组成部分严重性分类暴露结果的好处暴露来源调查结果最佳实践
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 中的暴露调查发现

Security Hub 中的暴露发现表示多个安全信号之间的关联,这些信号可识别Amazon环境中的潜在安全风险。暴露发现通过自动分析漏洞、配置、威胁和资源关系的组合,帮助您了解安全风险并确定其优先级。暴露调查发现包括特征和信号。一个信号可以包含一种或多种类型的暴露特征。当来自 Security Hub CSPM、Amazon Inspector、Macie 或其他Amazon服务的信号表明存在风险时,Security Hub 会生成曝光结果。 GuardDuty一项资源最多可以是一项风险敞口发现的主要资源。如果资源没有任何暴露特征或特征不足,Security Hub 不会为该资源生成暴露调查发现。

曝光结果如何运作

Security Hub 通过以下方式生成曝光结果:

  • 分析来自多个Amazon安全服务的信号:Security Hub 持续收集和分析来自多个Amazon安全服务的安全信号。它从中提取发现 GuardDuty 以进行威胁检测,从中提取用于漏洞评估的 Amazon Inspector,从中提取用于配置检查的 Security Hub CSPM,以及用于敏感数据泄露的 Macie。这些信号通过高级关联引擎进行处理,以识别潜在的安全风险。

  • 评估资源配置和关系:系统根据安全最佳实践对资源配置进行详细评估。它检查特定于服务的设置、合规性要求和安全控制。此分析有助于识别与其他因素结合使用时可能导致安全漏洞的错误配置。

  • 评估网络可达性:风险暴露发现的关键组成部分是评估网络的可达性。该系统会评估互联网暴露和内部网络访问路径。它分析安全组配置和网络 ACL 设置,以确定潜在的攻击媒介。此分析有助于识别可能无意中暴露于未经授权访问的资源。

  • 关联相关的安全问题:关联引擎映射Amazon资源之间的关系,分析它们的交互方式并识别潜在的安全隐患。它检查 IAM 权限、角色和资源访问模式,以了解更广泛的安全背景。此过程有助于识别由于看似无害的个人配置组合而可能存在的安全风险。

曝光调查结果的组成部分

每项曝光发现包括:

  • 潜在安全风险的标题和描述——每项风险发现都包括一个清晰的描述性标题,该标题可立即传达安全风险的性质。该描述提供了有关潜在安全影响、受影响的资源以及更广泛的暴露背景的详细信息。这些信息可以帮助安全团队快速了解和评估风险。

  • 严重性分类(严重、高、中、低)

    • 严重性严重性表示由于漏洞利用的可能性很高且潜在影响很大,因此需要立即采取行动。这些发现通常代表了容易发现和可利用的漏洞。

    • 严重程度高表示需要优先关注,漏洞利用的可能性为中到高,潜在影响很大。这些发现可能相对容易被利用,但可能需要特定的条件。

    • 中等严重性表示需要定期关注,利用漏洞的可能性较低,潜在影响适中。这些发现通常需要更复杂的利用方法。

    • 低严重性表示需要定期关注,漏洞利用的可能性有限,影响也很小。这些发现通常难以利用,风险也最小。

  • 导致暴露的贡献特征:贡献特征是导致暴露发现的主要因素。这些漏洞包括直接安全漏洞、配置问题、网络泄露条件和资源权限设置。每个特征都提供了有关其如何导致整体安全风险的具体细节。

  • 攻击路径可视化:攻击路径可视化提供了一个交互式图表,显示潜在攻击者如何利用已识别的漏洞。它绘制了资源关系、网络路径和潜在影响流图,帮助安全团队了解风险的全部范围并规划有效的补救策略。

  • 详细的补救指南:每项暴露发现都包括详细的补救指南,以及针对已确定的风险的具体、可操作的步骤。本指南包括最佳实践建议、配置更正步骤和优先操作项目。该指南针对具体的暴露情景量身定制,并考虑了所涉及的Amazon服务。

  • 资源配置详情:创建调查结果时的资源配置以及 Security Hub 资源清单控制面板中资源的当前配置。

  • 情境特征提供了额外的安全背景:上下文特征是由 Security Hub 识别但未用于创建暴露发现的其他安全标记。

严重性分类

暴露结果的分类依据是:

  • 易于发现

  • 易于利用

  • 被利用的可能性

  • 公众意识

  • 潜在影响

有关更多信息,请参阅暴露结果严重性分类

暴露结果的好处

  • 通过自动关联@@ 减少手动分析:通过自动关联和智能风险优先级划分,暴露发现显著减少了安全分析所需的时间和精力。Security Hub 持续监控您的Amazon环境,通过手动审查自动识别和关联可能遗漏的安全风险。

  • 安全风险的优先视图:Security Hub 采用复杂的风险评估算法,根据严重性、影响、资源重要性和漏洞利用可能性对风险进行优先排序。这有助于安全团队首先将精力集中在最重要的风险上,从而提高安全运营的效率。

暴露来源调查结果

暴露结果包含来自以下方面的数据:

  • Amazon GuardDuty 集成在风险暴露结果中提供了持续的威胁检测功能。它可以监控恶意活动、潜在的账户泄露和行为异常。该系统将这些威胁发现纳入更广泛的风险暴露分析中,有助于确定威胁何时与其他安全问题结合而造成重大风险。

  • Amazon Inspec tor 为暴露调查结果提供了重要的漏洞评估数据。它提供了有关网络可访问性、软件漏洞和违反安全最佳实践的详细信息。这种集成有助于了解如何通过已确定的攻击路径来利用漏洞。

  • S@@ ecurity Hub CSPM 集成可确保在风险分析中考虑配置合规性和安全标准。它根据既定的安全控制措施和最佳实践评估资源,为了解基于配置的风险奠定基础。

  • 利用敏感数据发现和分类功能增强暴露结果。它可以识别您Amazon环境中存在的敏感数据的位置,并评估潜在的隐私风险,从而帮助了解已识别的风险暴露的潜在影响。

最佳实践

  • 定期审查曝光结果:有效的风险敞口管理需要结构化的审查流程。Organizations 应对关键风险进行每日审查、每周评估总体风险暴露状态、每月趋势分析和季度安全态势评估。这种分层方法可确保适当关注眼前风险和长期安全趋势。

  • 确定关键风险和高严重风险敞口的优先级:成功的风险敞口管理取决于有效的风险优先级划分。Organizations 应首先关注关键风险,同时考虑资源关键性和业务影响。这种基于风险的方法有助于确保安全措施与业务优先事项保持一致,并最大限度地降低风险。

  • 实施建议的补救措施:暴露补救应遵循系统的方法。Organizations 应认真实施建议的补救措施,详细记录变更情况,对修改进行全面测试,并验证已实施的修复的有效性。这种有条不紊的方法有助于确保成功降低风险,同时避免意想不到的后果。

  • 配置自动响应规则:要最大限度地提高曝光结果的价值,需要有效的自动化。Organizations 应实施自动响应规则,配置适当的通知,建立高效的工作流程,并维护全面的审计跟踪。这种自动化有助于确保对已识别的暴露做出一致和及时的响应,同时减少人工操作。