Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Gestión de Findings en AWS: lo que sí, lo que n...

Gestión de Findings en AWS: lo que sí, lo que no y algunas perlitas! (2023)

Disertación para evento AWS Cloud Security Day en Ciudad de Córdoba

Agustin Celano

June 10, 2023
Tweet

More Decks by Agustin Celano

Other Decks in Education

Transcript

  1. Hola, soy Agus Celano! gestión de findings en aws: lo

    que si, lo que no y algunas perlitas! /in/agustincelano @agustincelano /celagus
  2. agenda • importancia de un proceso de gestión de findings/vulnerabilidades

    • security hub: qué es? • 4 cosas que JAMÁS deberías hacer en Security Hub! • algunas ideas para aprovechar las ventajas del ecosistema AWS + bonus track
  3. a qué le llamamos finding? ausencia de control que implica

    un riesgo de seguridad y/o cumplimiento Ejemplos: falta de parches misconfig privilegios desmedidos desvíos de cumplimiento
  4. por qué es importante? • Reducir el MTTR / MTTP

    • Reducir el sobre-privilegio • Mejorar la postura de seguridad • Compliance NIST - ISO27k - CIS - PCI
  5. algunas desventajas EXCESO DE FALSOS POSITIVOS ALTO EN LIMITACIONES DE

    INTERFAZ ALTO EN LIMITACIONES DE OBSERVABILIDAD
  6. algunas ventajas • Controles de seguridad/cumplimiento plug-and-play • Integración con:

    ◦ herramientas del ecosistema AWS ◦ herramientas populares (Qualys, Prowler, Cloud Custodian, Kube bench, etc) ◦ cualquier otra fuenta a través de API • Posibilidad de centralizar findings multi-cuenta/multi-región en una sola cuenta admin • Posibilidad de automatizar • Maneja múltiples estándares: PCI, NIST, CIS y AWS MESSIRVE
  7. • Más no es mejor… En este caso menos es

    más! • Elegir la vara con la que nos vamos a medir • Evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 1. activar estándares innecesariamente
  8. • De nuevo: menos es más! • Poner sobre la

    mesa el contexto de cumplimiento de la organización • Desactivar aquellos controles que se “solapan” con otras herramientas generadores de findings 2. activar controles innecesariamente
  9. • De nuevo: menos es más! • Cuidar que no

    haya herramientas que se solapen en scope • De nuevo: evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 3. activar integraciones innecesariamente
  10. • Solo va a producir infinidad de findings que no

    suman y pueden ser difíciles de depurar • Le resta confianza a la herramienta • Algunos posibles ejemplos: ◦ Systems Manager OpsCenter ◦ Inspector • De nuevo: evitar costos innecesarios!!!!!!!! 4. activar integraciones no optimizadas previamente
  11. • Delegar la administración de Security Hub en alguna cuenta

    (cuenta de seguridad si existe) • Exportar findings hacia una fuente externa de observabilidad y/o gestión (idealmente un SIEM) • Aprovechar las ventajas del ecosistema AWS para adicionarle features a Security Hub. Por ejemplo: EventBridge / Step Functions / Lambdas / etc… algunas recomendaciones generales
  12. event bridge rule { "detail-type": ["Security Hub Findings - Imported"],

    "source": ["aws.securityhub"], "detail": { "findings": { "Compliance": { "Status": ["FAILED", "NOT_AVAILABLE", "WARNING"] }, "RecordState": ["ACTIVE"], "Workflow": { "Status": ["NEW", "NOTIFIED"] }, "Severity": { "Label": ["HIGH", "CRITICAL", "MEDIUM"] } } } }