AWS安全事件响应:加速事件响应生命周期的客户旅程
组织在构建和维护有效的安全事件响应程序时面临越来越多的挑战。根据IBM和Morning Consult的研究,安全团队面临两大挑战:超过50%的安全警报因资源限制和警报疲劳而未得到处理,而误报消耗了30%的调查时间,延迟了对真正威胁的响应。
根据《2024年IBM数据泄露成本报告》,组织现在平均需要258天来识别和遏制安全事件。报告还显示,近一半的SOC团队报告在过去两年中检测和响应时间增加,80%的团队表示手动威胁调查显著影响了他们的响应时间。
尽管面临这些挑战,根据《2024年IBM安全服务基准报告》,具有成熟事件响应能力的组织实现了平均解决时间(MTTR)减少50%,每个事件节省高达58%的成本。这些改进得益于采用自动化工作流、集成工具和简化通信流程,从而加速威胁检测和遏制。
在本文中,我们将通过一个真实场景,展示AWS安全事件响应如何通过加速事件响应生命周期的每一步来立即产生效益,如何与Amazon GuardDuty、AWS Security Hub和AWS Systems Manager等其他原生AWS服务集成,以及如何集成第三方威胁检测结果以纳入自动化监控、分类和遏制能力。
AWS安全事件响应如何帮助
AWS安全事件响应是一项于2024年12月推出的Tier 1服务。该服务是AWS原生的、专为客户构建的安全事件响应解决方案,可与检测和响应(GuardDuty和Security Hub)以及管理和治理(Systems Manager)领域的其他AWS服务一起使用,提供更好的体验。AWS安全事件响应还通过服务特定的合作伙伴专项计划与AWS合作伙伴集成。更多详细信息可在AWS安全事件响应文档中找到。
AWS安全事件响应通过简化安全事件之前、期间和之后的事件管理能力来增强您的安全态势,从而补充现有服务。
关键挑战
AWS安全事件响应解决了三个常见挑战:
- 警报疲劳:通过自动化监控和智能分类,减少警报疲劳并加速安全调查,减少误报并帮助防止安全团队倦怠。
- 分散的访问和通信:通过简化AWS管理控制台权限管理和统一事件响应团队通信,解决分散的访问问题。
- 安全技能差距:通过提供24/7访问AWS安全专家的支持,弥补云安全技能差距,支持包括凭据泄露、数据外泄和勒索软件在内的事件。AWS安全事件响应服务允许安全团队处理即时安全挑战,同时专注于战略长期准备和运营改进。
服务集成
AWS安全事件响应与AWS安全服务互补并集成,提供全面的事件响应能力。该服务与以下服务无缝协作:
- 检测服务:GuardDuty、Security Hub
- 管理工具:Systems Manager
- 第三方解决方案:通过Security Hub集成和AWS安全事件响应合作伙伴专项计划
这种集成帮助您构建高效的事件响应能力,可以最小化安全事件在组织云旅程中的时间、成本和影响,同时帮助减少在额外人员、培训和工具维护方面的投资。
独特能力
AWS安全事件响应服务提供:
- 来自AWS客户事件响应团队(CIRT)的专家知识
- 通过API和控制台提供的工具
- 处理安全事件的简化流程
先决条件
在实施本文描述的能力之前,请确保您已:
- 配置了适当的AWS身份和访问管理(IAM)权限
- 建立了事件响应团队联系人
- 设置了通知渠道
- (可选)在您的账户和AWS区域中启用了GuardDuty
- (可选)在您的账户和区域中启用了SecurityHub
- (可选)部署了所需的AWS CloudFormation StackSets以进行自动化操作
这些先决条件有助于确保您能够充分利用服务的自动化检测、分类和响应能力。
该服务在其自己的服务基础设施内提供自动化监控和分析能力,能够自动分类来自GuardDuty和Security Hub的发现。
对于在您的AWS账户中的自动化遏制操作,您必须首先部署所需的CloudFormation StackSets并配置适当的IAM权限。这有助于确保您保持对环境中采取的自动化操作的完全控制,同时受益于服务的检测能力。这种自动化可以根据您建立的变量进行定制,例如已知CIDR范围(定义您的网络的特定IP地址范围)和IP地址,并且您可以实施GuardDuty抑制规则以帮助减少误报和警报量。因此,该服务可以作为您现有安全事件响应程序和工具的强大补充。
设置AWS安全事件响应
您的云管理员具有AWSSecurityIncidentResponseFullAccess权限,已在服务中建立了事件响应团队。该服务通知个人、您的合作伙伴或托管安全服务提供商(MSSP)以及添加到团队的其他联系人,支持快速升级以提醒所需方并响应事件。
作为最佳实践,您的团队为访问和管理AWS安全事件响应案例中的信息建立了最小权限。这有助于确保团队成员对案例详情、发现和调查数据具有适当的访问级别,同时满足安全和合规要求。AWS安全事件响应提供多个API操作,例如CreateCaseComment(向调查添加注释)和GetCase(检索案例元数据),以限制谁可以对不同案例执行哪些操作。对于开发和测试环境,AWS提供基于角色的策略,您可以使用例如AWSSecurityIncidentResponseCaseFullAccess和AWSSecurityIncidentResponseReadOnlyAccess进行基于角色的访问控制(如图1所示)。对于生产环境,我们建议根据您的安全要求遵循最小权限原则创建自定义IAM策略。
在配置AWS安全事件响应服务后,您的安全团队审查电子邮件分发列表或别名以接收来自服务的通知,如图2所示。您已在待办事项中开发了项目,以利用Amazon EventBridge集成在未来添加pager duty、Jira和其他服务以获取额外的通知机制。
检测和响应可疑活动
在设置AWS安全事件响应几天后的凌晨2:00,该服务通过GuardDuty发现检测到一系列可疑活动,包括异常的IAM用户行为(如图3所示)、来自未知IP地址的异常API调用,以及偏离您账户正常基线的Amazon Elastic Compute Cloud(Amazon EC2)实例创建激增。这种活动模式与GuardDuty扩展威胁检测监控的已知威胁行为匹配。如果没有该服务,安全团队需要手动分析和关联这些跨账户和区域的单独发现。相反,该服务自动识别可疑活动的模式。
其中一种异常行为是未被识别的EC2实例创建激增,包括SSH密钥(用于远程访问的安全凭据)和安全组配置(控制网络流量的防火墙规则)允许互联网连接。使用此示例场景,让我们逐步了解该服务的自动化监控、分类和遏制能力、访问管理、用于自定义集成的API操作、协作工具以及24/7 AWS安全专家如何协同工作,帮助您应对AWS环境中的安全事件响应挑战。
事件响应时间线
|
|
初始检测完成后,下一阶段侧重于集中和分析安全发现以了解事件的全范围。
集中安全发现:系统化方法
GuardDuty开始在您启用的区域中生成发现。
注意:必须在您的账户和区域中启用GuardDuty。有关设置说明,请参阅GuardDuty文档。
由于AWS安全事件响应与GuardDuty集成,这些发现会自动发送到服务进行内部处理、分析和自动分类,无需手动操作。该服务的主动响应和警报分类功能分析多个因素,包括您账户的历史基线活动、特定GuardDuty发现类型以及跨账户的关联模式。在这种情况下,它识别了显著偏离您环境正常模式的异常EC2实例创建活动。
当服务识别出真正阳性时,会自动打开一个AWS安全事件响应案例(见图4),从而通知您之前配置的事件响应团队。一个核心好处是服务如何关联不同事件——将实例创建与安全组修改连接起来——以描绘潜在安全事件的完整图景。
这种主动监控和分析,如您的月度服务报告中所记录,通过减少警报疲劳并为SOC团队每天提供智能分类能力,展示了切实的好处。服务的自动化分析和关联能力为安全事件发生时的快速响应奠定了基础,这意味着您的团队可以专注于战略安全计划,而不是花费时间手动调查警报。该服务功能通过两种方式帮助您保持强大的安全性:
- 跨配置区域的全面监控
- 与第三方安全工具的集成。这种自动化方法减少了安全事件的时间、成本和影响。
随着调查从初始检测进展到详细分析,GuardDuty集成为威胁模式提供了关键见解。
从检测到行动:GuardDuty集成故事
当您的安全团队响应内部检测机制时,AWS安全事件响应通过三个关键步骤处理安全发现:
- 分析GuardDuty警报以识别真正的安全威胁
- 使用GuardDuty扩展威胁检测,关联相关事件以识别威胁模式
- 跟踪威胁序列,从初始行动(删除日志或创建未经授权的访问)到潜在的数据盗窃尝试
对于此事件,序列以删除CloudTrail日志开始,然后是创建未经授权的访问密钥。随着威胁的进展,服务识别了可疑的Amazon Simple Storage Service(Amazon S3)对象访问模式和潜在的数据外泄尝试,以及复杂的规避技术和持久性机制。这些信号中的每一个都直接映射到特定的MITRE ATT&CK®战术、技术和程序(TTP),揭示了潜在勒索软件威胁的系统性性质。有关AWS安全事件响应发现与MITRE ATT&CK®框架的详细映射,请参阅将AWS安全服务映射到MITRE框架以进行威胁检测和缓解。
服务协助关联和分析,评估诸如删除CloudTrail跟踪、创建新访问密钥以及针对S3对象