Hola, soy Agus Celano! gestión de findings en aws: lo que si, lo que no y algunas perlitas! /in/agustincelano @agustincelano /celagus

agenda • importancia de un proceso de gestión de findings/vulnerabilidades • security hub: qué es? • 4 cosas que JAMÁS deberías hacer en Security Hub! • algunas ideas para aprovechar las ventajas del ecosistema AWS + bonus track

una intro (mini)

a qué le llamamos finding? ausencia de control que implica un riesgo de seguridad y/o cumplimiento Ejemplos: falta de parches misconfig privilegios desmedidos desvíos de cumplimiento

por qué es importante? • Reducir el MTTR / MTTP • Reducir el sobre-privilegio • Mejorar la postura de seguridad • Compliance NIST - ISO27k - CIS - PCI

security hub: qué es?

security hub: qué es?

pregunta para el salón: qué experiencia tenés con security hub?

algunas desventajas EXCESO DE FALSOS POSITIVOS ALTO EN LIMITACIONES DE INTERFAZ ALTO EN LIMITACIONES DE OBSERVABILIDAD

algunas ventajas • Controles de seguridad/cumplimiento plug-and-play • Integración con: ○ herramientas del ecosistema AWS ○ herramientas populares (Qualys, Prowler, Cloud Custodian, Kube bench, etc) ○ cualquier otra fuenta a través de API • Posibilidad de centralizar findings multi-cuenta/multi-región en una sola cuenta admin • Posibilidad de automatizar • Maneja múltiples estándares: PCI, NIST, CIS y AWS MESSIRVE

security hub: 4 cosas que NO deberías hacer!

• Más no es mejor… En este caso menos es más! • Elegir la vara con la que nos vamos a medir • Evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 1. activar estándares innecesariamente

aws securityhub batch-enable-standards --standards-subscription-requests \ '{"StandardsArn":"arn:aws:securityhub:{region}::standards/cis-aws-foundations-benchmark/v/1.4.0"}' GUI terraform CLI

• De nuevo: menos es más! • Poner sobre la mesa el contexto de cumplimiento de la organización • Desactivar aquellos controles que se “solapan” con otras herramientas generadores de findings 2. activar controles innecesariamente

aws securityhub update-standards-control --standards-control-arn \ "arn:aws:securityhub:{region}:{account}:control/cis-aws-foundations-benchmark/v/1.4.0/3.9" \ --control-status "DISABLED" --disabled-reason "This feature is replaced by other tool" GUI terraform CLI

• De nuevo: menos es más! • Cuidar que no haya herramientas que se solapen en scope • De nuevo: evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 3. activar integraciones innecesariamente

GUI terraform CLI aws securityhub enable-import-findings-for-product --product-arn \ "arn:aws:securityhub:{region}:{account}:product/aqua-security/kube-bench"

• Solo va a producir infinidad de findings que no suman y pueden ser difíciles de depurar • Le resta confianza a la herramienta • Algunos posibles ejemplos: ○ Systems Manager OpsCenter ○ Inspector • De nuevo: evitar costos innecesarios!!!!!!!! 4. activar integraciones no optimizadas previamente

• Delegar la administración de Security Hub en alguna cuenta (cuenta de seguridad si existe) • Exportar findings hacia una fuente externa de observabilidad y/o gestión (idealmente un SIEM) • Aprovechar las ventajas del ecosistema AWS para adicionarle features a Security Hub. Por ejemplo: EventBridge / Step Functions / Lambdas / etc… algunas recomendaciones generales

algunas ideas: para aprovechar las ventajas del ecosistema AWS

ejemplo arq event-driven simple

un caso real (un poco más complejo)

event bridge rule { "detail-type": ["Security Hub Findings - Imported"], "source": ["aws.securityhub"], "detail": { "findings": { "Compliance": { "Status": ["FAILED", "NOT_AVAILABLE", "WARNING"] }, "RecordState": ["ACTIVE"], "Workflow": { "Status": ["NEW", "NOTIFIED"] }, "Severity": { "Label": ["HIGH", "CRITICAL", "MEDIUM"] } } } }

workflows normalizar + deduplicar + priorizar analizar + accionar + actualizar fuentes

mensajes en slack / jira

costos: arquitectura complementaria (ejecuciones de workflows en el mes)

gracias! /in/agustincelano @agustincelano /celagus regalanos tu feedback :)