Gestión de Findings en AWS: lo que sí, lo que no y algunas perlitas! (2023)

Transcript

1. Hola, soy Agus Celano! gestión de findings en aws: lo

   que si, lo que no y algunas perlitas! /in/agustincelano @agustincelano /celagus

2. agenda • importancia de un proceso de gestión de findings/vulnerabilidades

   • security hub: qué es? • 4 cosas que JAMÁS deberías hacer en Security Hub! • algunas ideas para aprovechar las ventajas del ecosistema AWS + bonus track

3. una intro (mini)

4. a qué le llamamos finding? ausencia de control que implica

   un riesgo de seguridad y/o cumplimiento Ejemplos: falta de parches misconfig privilegios desmedidos desvíos de cumplimiento

5. por qué es importante? • Reducir el MTTR / MTTP

   • Reducir el sobre-privilegio • Mejorar la postura de seguridad • Compliance NIST - ISO27k - CIS - PCI

6. security hub: qué es?

7. security hub: qué es?

8. pregunta para el salón: qué experiencia tenés con security hub?

9. algunas desventajas EXCESO DE FALSOS POSITIVOS ALTO EN LIMITACIONES DE

   INTERFAZ ALTO EN LIMITACIONES DE OBSERVABILIDAD

10. algunas ventajas • Controles de seguridad/cumplimiento plug-and-play • Integración con:

    ◦ herramientas del ecosistema AWS ◦ herramientas populares (Qualys, Prowler, Cloud Custodian, Kube bench, etc) ◦ cualquier otra fuenta a través de API • Posibilidad de centralizar findings multi-cuenta/multi-región en una sola cuenta admin • Posibilidad de automatizar • Maneja múltiples estándares: PCI, NIST, CIS y AWS MESSIRVE

11. security hub: 4 cosas que NO deberías hacer!

12. • Más no es mejor… En este caso menos es

    más! • Elegir la vara con la que nos vamos a medir • Evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 1. activar estándares innecesariamente

13. aws securityhub batch-enable-standards --standards-subscription-requests \ '{"StandardsArn":"arn:aws:securityhub:{region}::standards/cis-aws-foundations-benchmark/v/1.4.0"}' GUI terraform CLI

14. • De nuevo: menos es más! • Poner sobre la

    mesa el contexto de cumplimiento de la organización • Desactivar aquellos controles que se “solapan” con otras herramientas generadores de findings 2. activar controles innecesariamente

15. aws securityhub update-standards-control --standards-control-arn \ "arn:aws:securityhub:{region}:{account}:control/cis-aws-foundations-benchmark/v/1.4.0/3.9" \ --control-status "DISABLED" --disabled-reason

    "This feature is replaced by other tool" GUI terraform CLI

16. • De nuevo: menos es más! • Cuidar que no

    haya herramientas que se solapen en scope • De nuevo: evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 3. activar integraciones innecesariamente

17. GUI terraform CLI aws securityhub enable-import-findings-for-product --product-arn \ "arn:aws:securityhub:{region}:{account}:product/aqua-security/kube-bench"

18. • Solo va a producir infinidad de findings que no

    suman y pueden ser difíciles de depurar • Le resta confianza a la herramienta • Algunos posibles ejemplos: ◦ Systems Manager OpsCenter ◦ Inspector • De nuevo: evitar costos innecesarios!!!!!!!! 4. activar integraciones no optimizadas previamente

19. • Delegar la administración de Security Hub en alguna cuenta

    (cuenta de seguridad si existe) • Exportar findings hacia una fuente externa de observabilidad y/o gestión (idealmente un SIEM) • Aprovechar las ventajas del ecosistema AWS para adicionarle features a Security Hub. Por ejemplo: EventBridge / Step Functions / Lambdas / etc… algunas recomendaciones generales

20. algunas ideas: para aprovechar las ventajas del ecosistema AWS

21. ejemplo arq event-driven simple

22. un caso real (un poco más complejo)

23. event bridge rule { "detail-type": ["Security Hub Findings - Imported"],

    "source": ["aws.securityhub"], "detail": { "findings": { "Compliance": { "Status": ["FAILED", "NOT_AVAILABLE", "WARNING"] }, "RecordState": ["ACTIVE"], "Workflow": { "Status": ["NEW", "NOTIFIED"] }, "Severity": { "Label": ["HIGH", "CRITICAL", "MEDIUM"] } } } }

24. workflows normalizar + deduplicar + priorizar analizar + accionar +

    actualizar fuentes

25. mensajes en slack / jira

26. costos: arquitectura complementaria (ejecuciones de workflows en el mes)

27. gracias! /in/agustincelano @agustincelano /celagus regalanos tu feedback :)