Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Gestión de Findings en AWS: lo que sí, lo que n...

Agustin Celano
June 10, 2023
Education
0
67

Gestión de Findings en AWS: lo que sí, lo que no y algunas perlitas! (2023)

Disertación para evento AWS Cloud Security Day en Ciudad de Córdoba

Agustin Celano

June 10, 2023
Tweet

More Decks by Agustin Celano

See All by Agustin Celano
Seguridad en startups: 7 cosas que tenés que saber ()
celagus
0
37
Event-driven Security Architecture (2022)
celagus
0
19
AppSec Vulnerability Management Pipelines (2020)
celagus
0
90
Ansible para DevSecops (2020)
celagus
1
100
Transición a DevSecOps (2020)
celagus
1
96

Other Decks in Education

See All in Education
Human Perception and Cognition - Lecture 4 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
680
H5P-työkalut
matleenalaakso
4
35k
Requirements Analysis and Prototyping - Lecture 3 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
770
セキュリティ・キャンプ全国大会2024 S17 探査機自作ゼミ 事前学習・当日資料
sksat
3
810
ルクソールとツタンカーメン
masakamayama
1
560
CSS3 and Responsive Web Design - Lecture 5 - Web Technologies (1019888BNR)
signer
PRO
1
2.4k
cbt2324
cbtlibrary
0
110
20240810_ワンオペ社内勉強会のノウハウ
ponponmikankan
2
860
NTTコムウェアの東海支店でもアジャイル人材育てんとかんやん!結果どえらい人材が育ったがね!
mizuki_fujita
0
600
Amazon Connectを利用したCloudWatch Alarm電話通知
junghyeonjae
0
230
困ったときのガイドライン / We Support You in Any Situation
yasulab
2
3.8k
20241004_Microsoft認定資格のFundamentals全部取ってみた
ponponmikankan
2
310

Featured

See All Featured
A better future with KSS
kneath
238
17k
Intergalactic Javascript Robots from Outer Space
tanoku
268
27k
Git: the NoSQL Database
bkeepers
PRO
425
64k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
37
1.8k
How to Think Like a Performance Engineer
csswizardry
19
1.1k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.6k
Teambox: Starting and Learning
jrom
132
8.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
231
17k
Documentation Writing (for coders)
carmenintech
65
4.4k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
107
49k

Transcript

  1. Hola, soy Agus Celano! gestión de findings en aws: lo

    que si, lo que no y algunas perlitas! /in/agustincelano @agustincelano /celagus

  2. agenda • importancia de un proceso de gestión de findings/vulnerabilidades

    • security hub: qué es? • 4 cosas que JAMÁS deberías hacer en Security Hub! • algunas ideas para aprovechar las ventajas del ecosistema AWS + bonus track

  3. una intro (mini)

  4. a qué le llamamos finding? ausencia de control que implica

    un riesgo de seguridad y/o cumplimiento Ejemplos: falta de parches misconfig privilegios desmedidos desvíos de cumplimiento

  5. por qué es importante? • Reducir el MTTR / MTTP

    • Reducir el sobre-privilegio • Mejorar la postura de seguridad • Compliance NIST - ISO27k - CIS - PCI

  6. security hub: qué es?

  7. security hub: qué es?

  8. pregunta para el salón: qué experiencia tenés con security hub?

  9. algunas desventajas EXCESO DE FALSOS POSITIVOS ALTO EN LIMITACIONES DE

    INTERFAZ ALTO EN LIMITACIONES DE OBSERVABILIDAD

  10. algunas ventajas • Controles de seguridad/cumplimiento plug-and-play • Integración con:

    ◦ herramientas del ecosistema AWS ◦ herramientas populares (Qualys, Prowler, Cloud Custodian, Kube bench, etc) ◦ cualquier otra fuenta a través de API • Posibilidad de centralizar findings multi-cuenta/multi-región en una sola cuenta admin • Posibilidad de automatizar • Maneja múltiples estándares: PCI, NIST, CIS y AWS MESSIRVE

  11. security hub: 4 cosas que NO deberías hacer!

  12. • Más no es mejor… En este caso menos es

    más! • Elegir la vara con la que nos vamos a medir • Evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 1. activar estándares innecesariamente

  13. aws securityhub batch-enable-standards --standards-subscription-requests \ '{"StandardsArn":"arn:aws:securityhub:{region}::standards/cis-aws-foundations-benchmark/v/1.4.0"}' GUI terraform CLI

  14. • De nuevo: menos es más! • Poner sobre la

    mesa el contexto de cumplimiento de la organización • Desactivar aquellos controles que se “solapan” con otras herramientas generadores de findings 2. activar controles innecesariamente

  15. aws securityhub update-standards-control --standards-control-arn \ "arn:aws:securityhub:{region}:{account}:control/cis-aws-foundations-benchmark/v/1.4.0/3.9" \ --control-status "DISABLED" --disabled-reason

    "This feature is replaced by other tool" GUI terraform CLI

  16. • De nuevo: menos es más! • Cuidar que no

    haya herramientas que se solapen en scope • De nuevo: evitar la producción de findings “disregarded by default” • Evitar costos innecesarios 3. activar integraciones innecesariamente

  17. GUI terraform CLI aws securityhub enable-import-findings-for-product --product-arn \ "arn:aws:securityhub:{region}:{account}:product/aqua-security/kube-bench"

  18. • Solo va a producir infinidad de findings que no

    suman y pueden ser difíciles de depurar • Le resta confianza a la herramienta • Algunos posibles ejemplos: ◦ Systems Manager OpsCenter ◦ Inspector • De nuevo: evitar costos innecesarios!!!!!!!! 4. activar integraciones no optimizadas previamente

  19. • Delegar la administración de Security Hub en alguna cuenta

    (cuenta de seguridad si existe) • Exportar findings hacia una fuente externa de observabilidad y/o gestión (idealmente un SIEM) • Aprovechar las ventajas del ecosistema AWS para adicionarle features a Security Hub. Por ejemplo: EventBridge / Step Functions / Lambdas / etc… algunas recomendaciones generales

  20. algunas ideas: para aprovechar las ventajas del ecosistema AWS

  21. ejemplo arq event-driven simple

  22. un caso real (un poco más complejo)

  23. event bridge rule { "detail-type": ["Security Hub Findings - Imported"],

    "source": ["aws.securityhub"], "detail": { "findings": { "Compliance": { "Status": ["FAILED", "NOT_AVAILABLE", "WARNING"] }, "RecordState": ["ACTIVE"], "Workflow": { "Status": ["NEW", "NOTIFIED"] }, "Severity": { "Label": ["HIGH", "CRITICAL", "MEDIUM"] } } } }

  24. workflows normalizar + deduplicar + priorizar analizar + accionar +

    actualizar fuentes

  25. mensajes en slack / jira

  26. costos: arquitectura complementaria (ejecuciones de workflows en el mes)

  27. gracias! /in/agustincelano @agustincelano /celagus regalanos tu feedback :)