AWS Security Hub: Análisis profundo

---

1. Introducción

AWS Security Hub es un servicio de gestión de postura de seguridad en la nube que:

• reduce el esfuerzo para recopilar y priorizar hallazgos
• realiza verificaciones de seguridad automáticas contra mejores prácticas y estándares
• agrega tus alertas de seguridad en una vista consolidada de hallazgos a través de cuentas y proveedores
• habilita remediación automatizada

Security Hub te permite entender tu postura de seguridad general a través de una puntuación de seguridad consolidada en todas tus cuentas AWS, y evalúa automáticamente la seguridad de los recursos de tu cuenta AWS a través de los estándares de seguridad disponibles:

• AWS Foundational Security Best Practices
• CIS AWS Foundations Benchmark
• PCI DSS

Habilitar este servicio es imprescindible y una victoria rápida para mejorar tu postura de seguridad: solo habilitando algún estándar de seguridad recibirás alertas de seguridad (hallazgos), y el servicio agregará tus alertas de seguridad automáticamente.

Antes de poder habilitar los estándares y controles de Security Hub, primero debes habilitar el registro de recursos en AWS Config. Debes habilitar el registro de recursos para todas las cuentas y en todas las regiones donde planees hacerlo.

1.1. Cómo funciona

Para mantener una vista completa de tu postura de seguridad en AWS, necesitas integrar múltiples herramientas y servicios incluyendo

• Detecciones de amenazas de Amazon GuardDuty,
• escaneo de vulnerabilidades de Amazon Inspector,
• recursos accesibles públicamente y entre cuentas de IAM Access Analyzer,
• clasificaciones de datos sensibles de Amazon Macie,
• recursos sin cobertura WAF de AWS Firewall Manager,
• problemas de configuración de recursos de AWS Config,
• y productos de AWS Partner Network.

Más información

1.2. Comenzando

Si una cuenta necesita habilitar AWS Security Hub manualmente depende de cómo se gestionan las cuentas.

1.3. Entorno multi-cuenta

Si usas la integración con AWS Organizations:

• La cuenta de gestión de la organización elige una cuenta administradora de Security Hub. Security Hub se habilita automáticamente para la cuenta elegida. Ver Designación de una cuenta administradora de Security Hub.
• La cuenta administradora de Security Hub habilita cuentas de organización como cuentas miembro. Esas cuentas de organización también tienen Security Hub habilitado automáticamente. Ver Gestión de cuentas miembro que pertenecen a una organización.
• La única cuenta de organización para la cual Security Hub no se habilita automáticamente es la cuenta de gestión de la organización. La cuenta de gestión de la organización no necesita habilitar Security Hub antes de designar la cuenta administradora de Security Hub. La cuenta de gestión de la organización debe habilitar Security Hub antes de que se habilite como cuenta miembro.

1.4. Entorno de cuenta independiente

Las cuentas que no se gestionan usando la integración de AWS Organizations deben habilitar Security Hub manualmente.

Para comenzar a usar AWS Security Hub, solo toma unos clics desde la consola de gestión para comenzar a agregar hallazgos y realizar verificaciones de seguridad.

Como puedes ver en la imagen, solo necesitas marcar el estándar de seguridad que quieres habilitar y luego habilitar el servicio. Además, puedes descargar una plantilla de CloudFormation para desplegarlo como StackSet.

Después de habilitar un estándar de seguridad, AWS Security Hub comienza a ejecutar todas las verificaciones dentro de dos horas, pero puede tomar hasta 24 horas para que el panel de estándares de seguridad se complete

1.5. Estimación de costos

Precios (USD), Por cuenta, por mes, por región

Verificaciones de seguridad
Primeras 100,000	$0.0010/verificación
100,001 – 500,000	$0.0008/verificación
500,001 +	$0.0005/verificación

Eventos de ingesta de hallazgos
Primeros 10,000	Gratis
10,001 +	$0.00003/hallazgo

Incluye la ingesta de actualizaciones a hallazgos existentes. La ingesta de hallazgos para verificaciones de seguridad de Security Hub es gratuita.

Dentro del servicio Security Hub, bajo la pestaña Settings Usage, puedes encontrar tu estimación mensual:

2. Práctica con AWS Security Hub

2.1. Resumen

En la página de resumen:

• Los estándares de seguridad te muestran tu puntuación de seguridad (total y por estándar), y los recursos con más verificaciones de seguridad fallidas
• Los hallazgos por región resumen el número de hallazgos activos para cada gravedad a través de regiones. Los conteos solo incluyen hallazgos que tienen un estado de flujo de trabajo de NEW o NOTIFIED.
• Insights: Un insight de AWS Security Hub es una colección de hallazgos relacionados. Identifica un área de seguridad que requiere atención e intervención.

2.2. Estándares de seguridad

Esta página te muestra los 3 estándares de seguridad y si los tienes habilitados (con su puntuación de seguridad) o no (puedes habilitarlos con una acción de un clic).

Si accedes a uno de ellos, podrás ver más detalles sobre cuántos controles de seguridad están habilitados, fallidos, aprobados, deshabilitados… y una tabla con información sobre estado de cumplimiento, gravedad, ID, título y verificaciones fallidas:

2.3. Hallazgos

Esta página muestra todos los hallazgos, los generados por AWS Security Hub con estándares de seguridad y todos los demás de otras herramientas y servicios.

En la siguiente imagen, puedes ver hallazgos de Security Hub y GuardDuty:

2.4. Agregación de hallazgos (entre cuentas y entre regiones)

Con la agregación de hallazgos, puedes usar una sola cuenta y región de agregación para ver y actualizar hallazgos de múltiples cuentas y regiones vinculadas. Las cuentas administradoras configuran la agregación. Security Hub replica hallazgos y encuentra actualizaciones para todas las cuentas miembro en las regiones vinculadas.

• Puedes conectar múltiples cuentas AWS y consolidar hallazgos a través de esas cuentas
• También puedes designar una región agregadora y vincular algunas o todas las regiones a esa región agregadora para darte una vista centralizada de todos tus hallazgos a través de todas tus cuentas y todas tus regiones vinculadas

Artículo interesante en el Blog de Seguridad de AWS: Mejores prácticas para agregación entre regiones de hallazgos de seguridad. Mejores prácticas mencionadas:

• Habilitar agregación entre regiones
• Consolidar integraciones SIEM y ticketing downstream
• Auto-archivar hallazgos de GuardDuty asociados con recursos globales
• Reducir el costo de AWS Config registrando recursos globales en una región
• Deshabilitar controles periódicos de AWS Security Hub AWS Foundational Best Practices asociados con recursos globales
• Implementar remediación automática desde una región central

También puedes mostrar tus hallazgos de AWS Security Hub en una vista de datos para permitir que los tomadores de decisiones evalúen la salud y el estado de la infraestructura de TI de una organización de un vistazo. Este artículo contiene cómo hacerlo.

2.5. Deshabilitar controles

Cuando habilitas un estándar, todos los controles para ese estándar están habilitados por defecto. Luego puedes deshabilitar y habilitar controles específicos dentro de un estándar habilitado.

Hay varias razones por las que puedes elegir deshabilitar controles:

• Controles para servicios no utilizados
• Controles que usan recursos globales
• Controles con controles compensatorios

Puede ser útil desactivar verificaciones de seguridad para controles que no son relevantes para tu entorno. Deshabilitar controles irrelevantes reduce el número de hallazgos irrelevantes. También elimina la verificación fallida de la puntuación de seguridad para el estándar asociado.

Cuando deshabilitas un control, ocurre lo siguiente:

• La verificación del control ya no se realiza.
• No se generan hallazgos adicionales para ese control.
• Los hallazgos existentes se archivan automáticamente después de tres a cinco días (ten en cuenta que esto es el mejor esfuerzo y no está garantizado).
• Las reglas de AWS Config relacionadas que Security Hub creó se eliminan.

Recuerda que Security Hub es regional. Cuando deshabilitas o habilitas un control, se deshabilita solo en la región actual o en la región que especifiques en la solicitud API.

Esta es la forma más rápida de deshabilitar un control, con el CLI:

aws securityhub update-standards-control --standards-control-arn "arn:aws:securityhub:eu-west-1:1234567890:control/aws-foundational-security-best-practices/v/1.0.0/GuardDuty.1" --control-status "DISABLED" --disabled-reason "testing functionality"

Con la consola de AWS, puedes deshabilitar fácilmente un control. Accede a un estándar de seguridad:

Y luego:

En los siguientes enlaces, encontrarás más información sobre cómo hacerlo en profundidad, cómo hacerlo en un entorno multi-cuenta (varias opciones), y más información relevante!

• Cómo deshabilitar controles
• Cómo deshabilitar en un entorno multi-cuenta
• Controles de AWS Foundational Best Practices que podrías querer deshabilitar
• cómo Crear Reglas de Auto-Supresión en AWS Security Hub

2.6. Integraciones

Security Hub proporciona la capacidad de integrar hallazgos de seguridad de servicios AWS y productos de terceros.

Para servicios AWS, Security Hub habilita automáticamente la integración, y puedes deshabilitar opcionalmente cada integración. Para productos de terceros, Security Hub te da la capacidad de habilitar selectivamente las integraciones y proporciona un enlace a las instrucciones de configuración relacionadas con el producto de terceros.

Algunos ejemplos de integraciones personalizadas:

• Integrar con Jira Service Management
  • 
• Integrar con Slack
  • 
• Email de resumen

2.7. Respuesta, remediación y acciones de enriquecimiento automatizadas

Puedes crear flujos de trabajo personalizados de respuesta, remediación y enriquecimiento automatizados usando la integración de Security Hub con Amazon EventBridge. Todos los hallazgos de Security Hub se envían automáticamente a EventBridge, y puedes crear reglas de EventBridge que tengan funciones AWS Lambda, funciones AWS Step Function o runbooks de AWS Systems Manager Automation como sus objetivos.

Security Hub también admite enviar hallazgos a EventBridge bajo demanda a través de acciones personalizadas, para que puedas tener un analista que decida cuándo activar una acción de respuesta o remediación automatizada.

La solución Automated Response and Remediation (SHARR) de Security Hub te proporciona reglas de EventBridge pre-empaquetadas para desplegar a través de AWS CloudFormation.

Más información sobre respuesta y remediación automatizada aquí

3. Bueno saber

• Servicio regional. Debes habilitarlo en todas las regiones que quieras revisar.
• 30 días de prueba gratuita cuando lo habilitas por primera vez, y durante la prueba gratuita Security Hub proporciona una estimación de cuál sería el gasto, para que puedas evaluar tu gasto más allá de la prueba gratuita.
• Todos los hallazgos se almacenan en Security Hub durante 90 días después de la última fecha de actualización
• Las verificaciones periódicas se ejecutan automáticamente dentro de las 12 horas después de la ejecución más reciente. No puedes cambiar la periodicidad.
• Las verificaciones activadas por cambios se ejecutan cuando el recurso asociado cambia de estado. Incluso si el recurso no cambia de estado, el tiempo actualizado para verificaciones activadas por cambios se actualiza cada 18 horas.
• Después de que se generan los estados de control por primera vez, Security Hub actualiza el estado de control cada 24 horas basándose en los hallazgos de las 24 horas anteriores
• Security Hub procesa los hallazgos usando un formato estándar llamado AWS Security Finding Format (ASFF), que elimina la necesidad de esfuerzos de conversión de datos que consumen tiempo. Con el ASFF, todos los socios de integración de Security Hub (incluyendo tanto servicios AWS como socios externos) envían sus hallazgos a Security Hub en un formato JSON bien tipado que consta de más de 1,000 campos disponibles. Esto significa que todos tus hallazgos de seguridad están normalizados antes de que se ingieran en Security Hub, y no necesitas hacer ningún análisis y normalización tú mismo. Los hallazgos identifican recursos, gravedades y marcas de tiempo de manera consistente para que puedas buscar y tomar acción sobre ellos más fácilmente.
• Los eventos se entregan a EventBridge en tiempo casi real y de manera garantizada
• Cuando habilitas un estándar de seguridad, las reglas de AWS Config se crean automáticamente (y no puedes eliminarlas)
• Puedes crear hallazgos personalizados con reglas de AWS Config y enviarlos a Security Hub con EventBridge

4. Más información sobre Security Hub

• Documentación oficial de AWS
• Workshop de Security Hub
• Resolver automáticamente hallazgos para recursos que ya no existen
• Enriquecer hallazgos con metadatos de cuenta
• Correlacionar hallazgos