Mehrere Faktoren können die Behebung von Sicherheitslücken erschweren. Die schiere Menge und Komplexität der Ergebnisse können Sicherheitsteams überfordern und zu Verzögerungen bei der Behebung kritischer Probleme führen. Die Ergebnisse erfordern oft ein tiefes Verständnis der AWS-Dienste und Konfigurationen und erfordern viele Zyklen zur Validierung, was es für weniger erfahrene Teams schwieriger macht, Probleme effektiv zu beheben. Einige Befunde erfordern möglicherweise eine Koordination über mehrere Teams oder Abteilungen hinweg, was zu Kommunikationsschwierigkeiten und Verzögerungen bei der Implementierung von Lösungen führen kann. Schließlich bedeutet die dynamische Natur von Cloud-Umgebungen, dass neue Sicherheitsbefunde schnell und ständig auftreten können, was eine effektivere und skalierbarere Lösung zur Behebung von Befunden erfordert.
In diesem Beitrag wird die Nutzung der generativen künstlichen Intelligenz (KI) und von Amazon Bedrock vorgestellt, um Organisationen dabei zu helfen, die Behebung von AWS Security Hub-Kontrollbefunden zu vereinfachen und effektiv zu verwalten. Durch die Verwendung von Agenten für Amazon Bedrock mit Aktionsgruppen und Wissensbasen für Amazon Bedrock können automatisierte Prozesse mit AWS Systems Manager Automation erstellt und in AWS-Konten bereitgestellt werden. Durch die Einhaltung eines programmatischen Continuous Integration and Development (CI/CD)-Ansatzes können Sicherheitsbefunde besser und zeitnah behoben werden.
Die Lösung folgt einer vorgegebenen Anleitung zur Automatisierung der Behebung von AWS Security Hub-Standardbefunden. Bevor wir jedoch in die Bereitstellung eintauchen, werden die wichtigen Schritte der Lösungsarchitektur in der folgenden Abbildung dargestellt. Ein SecOps-Benutzer verwendet die Agents für Amazon Bedrock-Chatkonsole, um bestimmte Aktionen anzufordern. Zum Beispiel können sie angeben, dass eine Automatisierung für die Behebung eines Befundes erzeugt werden soll. Optional können die Ergebnisse von Security Hub auch in einem Amazon Simple Storage Service (S3)-Bucket aggregiert werden, und unsere Lösung kann dennoch zur Behebung verwendet werden.
Das Verfahren sieht vor, dass die Knowledge-Basis und die Agenten im Wechselspiel anhand von Anfragen und Bereitstellung von Informationen arbeiten, um letztlich eine SSM-Automatisierungsdokumentation zu generieren und bereitzustellen, um die Sicherheitsbefunde zu beheben. Der Benutzer überwacht anschließend den Compliance-Status des betreffenden Kontrollpunkts in AWS Security Hub, um zu überprüfen, ob die Behebung erfolgreich war.
Die Lösung in diesem Beitrag zeigt, wie zwei beispielhafte Sicherheitsbefunde behandelt werden können, entweder durch bereits vorhandene Runbooks zur Behebung oder durch die Generierung eines CloudFormation-Flies, um die Befunde zu beheben. Es wird darauf hingewiesen, dass bestimmte Voraussetzungen erfüllt sein müssen, bevor die Lösung implementiert werden kann, und eine detaillierte Anleitung für die Bereitstellungsschritte wird ebenfalls angeboten. Das Ziel ist es, den Prozess der Behebung von Sicherheitsbefunden mithilfe von generativer KI und AWS-Tools wie Security Hub und Systems Manager zu optimieren.
Um die Lösung zu validieren, müssen verschiedene Schritte durchgeführt werden, darunter das Konfigurieren einer Wissensbasis, Bereitstellen von Agents und das Einrichten von Aktionen, gefolgt von Tests zur Überprüfung der Wirksamkeit der Behebung von Sicherheitsbefunden. Nach erfolgreicher Implementierung und Validierung schlägt der Beitrag vor, wie eine Bereinigung der Ressourcen durchgeführt werden kann, um unnötige Kosten zu vermeiden. Schließlich wird darauf hingewiesen, dass die Integration von generativer KI zur Behebung von Sicherheitsbefunden eine effektive Methode ist, mit der SecOps-Teams besser skalieren und Sicherheitsprobleme zeitnah beheben können.