Slide 1

Slide 1 text

Hola, soy Agus Celano! gestión de findings en aws: lo que si, lo que no y algunas perlitas! /in/agustincelano @agustincelano /celagus

Slide 2

Slide 2 text

agenda • importancia de un proceso de gestión de findings/vulnerabilidades • security hub: qué es? • 4 cosas que JAMÁS deberías hacer en Security Hub! • algunas ideas para aprovechar las ventajas del ecosistema AWS + bonus track

Slide 3

Slide 3 text

una intro (mini)

Slide 4

Slide 4 text

a qué le llamamos finding? ausencia de control que implica un riesgo de seguridad y/o cumplimiento Ejemplos: falta de parches misconfig privilegios desmedidos desvíos de cumplimiento

Slide 5

Slide 5 text

por qué es importante? • Reducir el MTTR / MTTP • Reducir el sobre-privilegio • Mejorar la postura de seguridad • Compliance NIST - ISO27k - CIS - PCI

Slide 6

Slide 6 text

security hub: qué es?

Slide 7

Slide 7 text

security hub: qué es?

Slide 8

Slide 8 text

pregunta para el salón: qué experiencia tenés con security hub?

Slide 9

Slide 9 text

algunas desventajas EXCESO DE FALSOS POSITIVOS ALTO EN LIMITACIONES DE INTERFAZ ALTO EN LIMITACIONES DE OBSERVABILIDAD

Slide 10

Slide 10 text

algunas ventajas • Controles de seguridad/cumplimiento plug-and-play • Integración con: ○ herramientas del ecosistema AWS ○ herramientas populares (Qualys, Prowler, Cloud Custodian, Kube bench, etc) ○ cualquier otra fuenta a través de API • Posibilidad de centralizar findings multi-cuenta/multi-región en una sola cuenta admin • Posibilidad de automatizar • Maneja múltiples estándares: PCI, NIST, CIS y AWS MESSIRVE

Slide 11

Slide 11 text

security hub: 4 cosas que NO deberías hacer!

Slide 12

Slide 12 text

• Más no es mejor… En este caso menos es más! • Elegir la vara con la que nos vamos a medir • Evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 1. activar estándares innecesariamente

Slide 13

Slide 13 text

aws securityhub batch-enable-standards --standards-subscription-requests \ '{"StandardsArn":"arn:aws:securityhub:{region}::standards/cis-aws-foundations-benchmark/v/1.4.0"}' GUI terraform CLI

Slide 14

Slide 14 text

• De nuevo: menos es más! • Poner sobre la mesa el contexto de cumplimiento de la organización • Desactivar aquellos controles que se “solapan” con otras herramientas generadores de findings 2. activar controles innecesariamente

Slide 15

Slide 15 text

aws securityhub update-standards-control --standards-control-arn \ "arn:aws:securityhub:{region}:{account}:control/cis-aws-foundations-benchmark/v/1.4.0/3.9" \ --control-status "DISABLED" --disabled-reason "This feature is replaced by other tool" GUI terraform CLI

Slide 16

Slide 16 text

• De nuevo: menos es más! • Cuidar que no haya herramientas que se solapen en scope • De nuevo: evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 3. activar integraciones innecesariamente

Slide 17

Slide 17 text

GUI terraform CLI aws securityhub enable-import-findings-for-product --product-arn \ "arn:aws:securityhub:{region}:{account}:product/aqua-security/kube-bench"

Slide 18

Slide 18 text

• Solo va a producir infinidad de findings que no suman y pueden ser difíciles de depurar • Le resta confianza a la herramienta • Algunos posibles ejemplos: ○ Systems Manager OpsCenter ○ Inspector • De nuevo: evitar costos innecesarios!!!!!!!! 4. activar integraciones no optimizadas previamente

Slide 19

Slide 19 text

• Delegar la administración de Security Hub en alguna cuenta (cuenta de seguridad si existe) • Exportar findings hacia una fuente externa de observabilidad y/o gestión (idealmente un SIEM) • Aprovechar las ventajas del ecosistema AWS para adicionarle features a Security Hub. Por ejemplo: EventBridge / Step Functions / Lambdas / etc… algunas recomendaciones generales

Slide 20

Slide 20 text

algunas ideas: para aprovechar las ventajas del ecosistema AWS

Slide 21

Slide 21 text

ejemplo arq event-driven simple

Slide 22

Slide 22 text

un caso real (un poco más complejo)

Slide 23

Slide 23 text

event bridge rule { "detail-type": ["Security Hub Findings - Imported"], "source": ["aws.securityhub"], "detail": { "findings": { "Compliance": { "Status": ["FAILED", "NOT_AVAILABLE", "WARNING"] }, "RecordState": ["ACTIVE"], "Workflow": { "Status": ["NEW", "NOTIFIED"] }, "Severity": { "Label": ["HIGH", "CRITICAL", "MEDIUM"] } } } }

Slide 24

Slide 24 text

workflows normalizar + deduplicar + priorizar analizar + accionar + actualizar fuentes

Slide 25

Slide 25 text

mensajes en slack / jira

Slide 26

Slide 26 text

costos: arquitectura complementaria (ejecuciones de workflows en el mes)

Slide 27

Slide 27 text

gracias! /in/agustincelano @agustincelano /celagus regalanos tu feedback :)