Header Navigation - IT
Background image for Che cos'è AWS Security Lake? Importanza e best practice
Cybersecurity 101/Sicurezza in-the-cloud/Lago di sicurezza AWS

Che cos'è AWS Security Lake? Importanza e best practice

Questo blog spiega cos'è AWS Security Lake e come aiuta nella sicurezza informatica. Questo articolo illustra le sue caratteristiche e le best practice per utilizzarlo in modo efficace al fine di migliorare il rilevamento delle minacce e semplificare le operazioni di sicurezza.

Autore: SentinelOne

AWS Security Lake è una soluzione facile da implementare, progettata per funzionare con le vostre fonti locali e cloud per centralizzare automaticamente tutti i vostri dati di sicurezza. Questa offerta proprietaria standardizza e normalizza i dati di sicurezza in un formato conforme all'Open Cybersecurity Schema Framework (OCSF), rendendo le operazioni di analisi semplici, rapide e approfondite.

L'importanza di AWS Security Lake nella sicurezza informatica non può essere sopravvalutata. Il rilevamento, l'indagine e la risposta rapidi agli incidenti di sicurezza sono di fondamentale importanza per individuare le minacce informatiche in rapida evoluzione. I dati di sicurezza consolidati in un formato standardizzato con potenti capacità di analisi attraverso AWS Security Lake consentono ai team di sicurezza di ottenere una maggiore copertura del panorama delle minacce in continua espansione.

AWS Security Lake - Immagine in primo piano | SentinelOneIntroduzione ad AWS Security Lake

AWS Security Lake è un servizio che aiuta le organizzazioni a creare un sistema di sicurezza AWS data lake in cui centralizzare tutti i log relativi agli avvisi e ad altri casi d'uso specifici della sicurezza. La piattaforma ha lo scopo di fornire un metodo comune per raccogliere, archiviare e analizzare i dati delle attività dai servizi AWS e dalle applicazioni di terze parti. Non si riferisce solo alla configurazione, ma include anche i log di sicurezza, come i dati dei log personalizzati.

Security Lake consente alle organizzazioni di sfruttare la scalabilità e l'economicità di AWS, aiutandole così a semplificare le operazioni di sicurezza e fornendo al contempo un'ampia visibilità per capacità di rilevamento e risposta più rapide.

AWS Security Lake collabora con l'Open Cybersecurity Schema Framework (OCSF) per garantire che i dati di sicurezza siano standardizzati in modo da poter essere analizzati e correlati da diverse fonti di informazioni. Questa standardizzazione comporta una riduzione dei costi generali legati alla gestione di log di sicurezza eterogenei e aiuta le organizzazioni a utilizzare in modo efficiente le informazioni relative alla propria sicurezza.

Rispetto ai metodi tradizionali di archiviazione dei dati relativi alla sicurezza, Amazon Security Lake è piuttosto diverso. La difficoltà principale dei metodi tradizionali è che i registri sono archiviati in luoghi diversi (sistemi isolati). Il primo problema descritto è la frammentazione degli strumenti, che rallenta i tempi di rilevamento e risposta agli incidenti, aumentando il rischio per la sicurezza.

AWS Security Lake fornisce un luogo comune in cui i team di sicurezza possono raccogliere dati da diverse fonti, facilitando l'analisi e consentendo di agire rapidamente. Al contrario, i metodi tradizionali richiedono un notevole sforzo manuale per raccogliere, normalizzare e analizzare i dati.

Inoltre, le soluzioni di sicurezza tradizionali potrebbero non avere la scalabilità e l'agilità necessarie per elaborare i volumi crescenti di dati di sicurezza. Le organizzazioni con sistemi obsoleti spesso hanno difficoltà a scalare il loro storage di dati o a integrare nuovi set di dati. Basandosi su questo approccio, AWS Security Lake è stato progettato per integrarsi con la potente infrastruttura AWS, che offre una ricca scalabilità per carichi di dati in crescita e flessibilità di fonti di dati diversificate.

Architettura di AWS Security Lake

AWS Security Lake si basa su un'architettura sicura progettata specificamente per centralizzare e governare in modo efficace i dati di sicurezza nel cloud AWS. I componenti chiave di questa architettura includono:

  1. Livello di acquisizione dei dati: questo livello raccoglie i dati di sicurezza da diverse fonti, come i servizi AWS, le applicazioni di terze parti e le fonti di log personalizzate.
  2. Livello di normalizzazione dei dati: questo livello viene utilizzato per garantire che tutti i dati acquisiti siano standardizzati in un formato comune indipendentemente dalla fonte e utilizzando il meccanismo OCSF (Open Cybersecurity Schema Framework).
  3. Livello di archiviazione: Questo livello utilizza Amazon S3 per archiviare i log di sicurezza normalizzati, offrendo un'archiviazione sicura senza limiti.
  4. Livello di query e analisi: Security Lake si integra con strumenti di analisi come Amazon Athena e AWS QuickSight. Il suo obiettivo è consentire alle organizzazioni di interrogare i dati di sicurezza archiviati in S3.
  5. Livello di presentazione e reporting: Questo livello offre ai team di sicurezza dashboard e visualizzazioni per tenere sotto controllo il proprio stato di sicurezza e individuare tendenze o anomalie.

Le opzioni di acquisizione dei dati sono fluide e a bassa latenza sia per i dati in tempo reale che per i carichi in batch. Le applicazioni sensibili al fattore tempo possono essere elaborate in tempo reale, ad esempio acquisendo i log di sicurezza in tempo reale tramite l'uso di servizi come Amazon Kinesis Data Streams o AWS Lambda. I metodi di acquisizione batch possono essere programmati per raccogliere e caricare i log per i dati meno urgenti.

Dopo essere stati consumati, i dati vengono normalizzati in modo da rimanere coerenti e compatibili tra loro. Ciò viene realizzato con l'Open Cybersecurity Schema Framework (OCSF), che modella i dati di sicurezza in un formato comune in modo che possano essere utilizzati per analizzare e correlare fonti disparate.

Questi dati vengono normalizzati e archiviati in Amazon S3, un servizio di archiviazione oggetti che offre durata, disponibilità e scalabilità per grandi quantità di log di sicurezza generati dai moderni ambienti IT.

Integrazione e analisi dei dati in AWS Security Lake

AWS Security Lake funziona con molti altri servizi AWS e li utilizza per offrire funzionalità di gestione dei dati e altro ancora. I servizi chiave che supportano AWS Security Lake includono:

  1. AWS CloudTrail: offre alle organizzazioni la possibilità di registrare ogni richiesta effettuata all'interno del proprio account AWS. Ciò include le modifiche alle risorse e persino le attività quotidiane dei singoli utenti.
  2. Amazon VPC Flow Logs: registra le informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete in un Virtual Private Cloud (VPC), contribuendo al monitoraggio della sicurezza e garantendo il rispetto dei requisiti di conformità.
  3. AWS Security Hub: Security Hub fornisce ai clienti un punto centrale da cui applicare le politiche implementate nei propri ambienti AWS.
  4. AWS Lambda: le funzioni lambda consentono l'elaborazione senza server, permettendo l'elaborazione dei dati in tempo reale e l'automazione dei flussi di lavoro di sicurezza che non includono la gestione dell'infrastruttura.
  5. Amazon Kinesis: viene utilizzato per l'acquisizione e l'elaborazione di dati in streaming, come la raccolta di log di sicurezza in tempo reale, ecc.

Origini di log personalizzate e politiche di conservazione dei dati

AWS Security Lake non solo è integrato con i servizi AWS supportati, ma è anche in grado di acquisire origini di log da fonti personalizzate. Gli usi importanti di questa funzione sono l'integrazione dei dati dai sistemi on-premise, dai firewall, soluzioni di sicurezza degli endpoint o persino applicazioni di terze parti. AWS Security Lake supporta una vasta gamma di origini di log, consentendo alle organizzazioni di avere una visione aggregata del proprio ecosistema di sicurezza.

Le organizzazioni possono anche impostare politiche di conservazione dei dati che determinano per quanto tempo i dati di sicurezza vengono conservati. Queste politiche possono essere personalizzate per garantire la conformità e soddisfare le esigenze operative, in modo che i log richiesti vengano conservati per scopi di audit e indagine, ma i costi di archiviazione rimangano entro i limiti.

Utilizzo di Amazon Athena per query SQL

Amazon Athena consente agli utenti di eseguire query SQL sui dati direttamente in Amazon S3 senza alcun tipo di spostamento, il che consente operazioni di analisi rapide e agili. Gli analisti o gli ingegneri della sicurezza hanno la possibilità di eseguire query ad hoc quando approfondiscono particolari incidenti o anomalie, il che consente loro di essere più reattivi nell'indagare potenziali minacce.

Athena è anche conveniente dal punto di vista economico grazie alla sua natura serverless, che addebita solo la quantità di dati scansionati nelle query, facilitando notevolmente il lavoro degli utenti che hanno bisogno di analizzare le informazioni per vari motivi.

Integrazione con AWS QuickSight

AWS QuickSight è un servizio di business intelligence nativo del cloud che ci aiuta a visualizzare le informazioni ricavate dai nostri dati di sicurezza. Dotato di una ricca serie di funzionalità, QuickSight offre la possibilità di creare dashboard e visualizzazioni per l'interrogazione interattiva dei dati provenienti da AWS Security Lake utilizzando Amazon Athena.

Questa integrazione consente ai team di sicurezza di comprendere meglio i rischi a cui sono esposti e di identificare e comunicare chiaramente la visibilità agli stakeholder. Il modello di prezzo pay-per-session di QuickSight consente alle organizzazioni di condividere report utili con la possibilità di controllare i costi.

Cosa sono Security Lake Schema e OCSF?

Il cuore di AWS Security Lake è l'Open Cybersecurity Schema Framework (OCSF), che standardizza la gestione dei dati di sicurezza. Ridefinisce il modo in cui gli eventi di sicurezza provenienti da più fonti vengono classificati, archiviati e analizzati. Utilizzando OCSF, Security Lake risolve il problema comune nella sicurezza informatica dei dati che giocano a nascondino e non sono sincronizzati tra loro.

Alla base, OCSF ha una struttura gerarchica per la categorizzazione degli eventi di sicurezza. Si riferisce alle categorie, alle classi e alle estensioni che forniscono una maggiore granularità. Un evento di flusso di rete, ad esempio, rientrerebbe nella categoria "Rete" e nella classe "Flusso di rete". I campi standardizzati includono l'indirizzo IP di origine, l'indirizzo IP di destinazione e il protocollo. Questo framework gerarchico consente agli analisti della sicurezza di filtrare enormi quantità di dati e ottenere informazioni rilevanti senza essere sopraffatti dal volume.

In AWS Security Lake, esiste un complesso processo di normalizzazione per OCSF. I dati vengono acquisiti da luoghi diversi e devono essere analizzati, mappati negli attributi OCSF, arricchiti con informazioni contestuali aggiuntive e convalidati rispetto allo schema. Questo processo di trasformazione automatica unifica i vari formati di log degli input e consente un'analisi cross-source, che in passato era difficile o quasi impossibile.

OCSF dispone di un set completo di campi predefiniti e offre al contempo una maggiore estensibilità per soddisfare le esigenze di diverse organizzazioni. I campi personalizzati vengono implementati tramite il meccanismo di estensione OCSF e possono essere semplicemente aggiunti come colonne aggiuntive nei file Parquet, rispettivamente, nelle corrispondenti definizioni delle tabelle Athena. In questo modo, le organizzazioni possono modellare questo schema in linea con le loro specifiche esigenze di sicurezza senza perdere tutti i vantaggi della standardizzazione.

Uno dei punti di forza di OCSF è che può cambiare mantenendo la retrocompatibilità. Per gestire questa crescita senza compromettere le query o le strutture di dati esistenti, Security Lake implementa un sistema di versioning in grado di adattarsi agli aggiornamenti dello schema. In questo modo, le organizzazioni possono trarre vantaggio dai miglioramenti dello schema e dai nuovi tipi di eventi di sicurezza, mantenendo i propri dati storici non relativi alla sicurezza in uno stato utile.

Quali sono i principali vantaggi di AWS Security Lake?

Ecco alcuni dei principali vantaggi di AWS Security Lake:

  1. Dati di sicurezza centralizzati: AWS Security Lake elimina il problema della frammentazione dei dati di sicurezza residenti in strumenti diversi centralizzando i log e gli eventi provenienti da un'ampia gamma di fonti, inclusi i servizi AWS, i sistemi on-premise e le app di terze parti. La centralizzazione consente di ottenere una dashboard di sicurezza unificata e una visualizzazione degli avvisi che altrimenti richiederebbe una perdita di tempo per navigare in modo indipendente attraverso molti silos di dati.
  2. Migliore rilevamento delle minacce: L'Open Cybersecurity Schema Framework (OCSF) consente di standardizzare e normalizzare i dati di sicurezza in una varietà di formati, consentendo così di affrontare le minacce in modo proattivo. Questa coerenza si traduce in migliori capacità di rilevamento delle minacce e consente di sfruttare potenti algoritmi di analisi e machine learning.
  3. Conformità più semplice: la conformità è la preoccupazione principale di molte aziende e, indipendentemente dal settore verticale a cui appartiene un'organizzazione, queste desiderano operare sempre in conformità. AWS Security Lake semplifica l'auditing e la reportistica rendendo disponibili tutti i dati di sicurezza strutturati in un unico luogo centralizzato.
  4. Basso costo di archiviazione: grazie ad AWS Security Lake, basato sull'infrastruttura scalabile di AWS, le organizzazioni possono risparmiare notevoli somme nella loro spesa annuale. I prezzi di AWS Security Lake offrono politiche di conservazione dei dati flessibili, consentendo di conservare i log degli eventi di sicurezza importanti senza superare il budget.
  5. Profondamente integrato: AWS Security Lake è profondamente integrato nel set di dati e ben integrato con altri importanti controlli di sicurezza e molte soluzioni di terze parti.

Guida al mercato CNAPP

La guida di mercato Gartner per le piattaforme di protezione delle applicazioni cloud-native fornisce informazioni chiave sullo stato del mercato delle CNAPP.

Leggi la guida

5 Best practice per AWS Security Lake

Le best practice descritte di seguito miglioreranno in modo significativo la sicurezza e l'efficienza di AWS Security Lake. Esaminiamole una per una.

  1. Integrazione con AWS Security Hub: l'integrazione di AWS Security Lake con AWS Security Hub è una best practice che consente alle organizzazioni di ricevere risultati di sicurezza da diversi servizi all'interno della propria organizzazione, nonché da terze parti integrate nella propria infrastruttura. Insieme, ciò offre all'organizzazione una visione più completa della propria posizione di conformità e delle aree che devono essere affrontate.
  2. Abilitare Security Lake in tutte le regioni AWS supportate: Security Lake dovrebbe essere abilitato in tutte le regioni AWS supportate per garantire la piena efficacia di ciò che offre.
  3. Utilizzare AWS CloudTrail per il monitoraggio: è consigliabile utilizzare l'API all'interno di Security Lake per monitorare l'utilizzo, che è un servizio nativo di AWS CloudTrail. CloudTrail contiene anche una cronologia completa di ogni operazione API effettuata da qualsiasi utente/ruolo/gruppo, che è autorevole sia per l'accesso di audit che per le modifiche ai dati di sicurezza.
  4. Rivedere e aggiornare regolarmente le politiche di conservazione dei dati: le politiche di conservazione dei dati devono essere definite in AWS Security Lake per garantire che ciascuna politica sia in linea con la propria organizzazione. La possibilità di personalizzare queste impostazioni di conservazione consente alle organizzazioni di gestire in modo efficace il ciclo di vita dei propri dati di sicurezza.
  5. Implementare il principio del privilegio minimo: per quanto riguarda Amazon Security Lake, è importante seguire il principio del privilegio minimo, che consente solo agli utenti, ai gruppi e ai ruoli di svolgere il proprio lavoro con autorizzazioni minime.

Comprendere i limiti di AWS Security Lake

Sebbene AWS Security Lake offra ai clienti una grande flessibilità per trasferire i dati di sicurezza sul cloud e centralizzare tali informazioni, esistono alcune limitazioni e potenziali difficoltà di implementazione. Esaminiamole più da vicino.

Limiti attuali di AWS Security Lake

AWS Security Lake è uno strumento incredibile, ma presenta regole/limiti piuttosto rigidi. Tuttavia, come per tutte le tecnologie in fase di maturazione, la consapevolezza di questi aspetti è essenziale per implementare e utilizzare con successo la soluzione. Ecco cinque problemi tecnici chiave che potreste incontrare con una soluzione basata su AWS Security Lake.

  1. Colli di bottiglia nelle prestazioni delle query: AWS Security Lake essenzialmente interroga i dati utilizzando Amazon Athena (basato su un motore di query distribuito). È efficiente in molti scenari, ma può presentare problemi di prestazioni quando la dimensione dei dati o il numero di query diventano estremamente elevati. In particolare, le query che coprono più join su tabelle molto grandi o le query che richiedono la scansione di molti dati possono presentare un'elevata latenza. Ciò accade a causa dell'architettura di Athena, che legge direttamente da S3, il che può causare colli di bottiglia nell'I/O. Un altro svantaggio è che Athena non supporta l'indicizzazione, quindi ogni operazione di filtro in cui è possibile utilizzare un indice nelle query eseguirà una scansione completa, il che peggiorerebbe notevolmente le prestazioni per le query selettive su tabelle di grandi dimensioni.
  2. Limitazioni della trasformazione dei dati: Sebbene AWS Security Lake si occupi della mappatura dei dati in entrata allo schema OCSF, possono verificarsi perdite di informazioni contestuali o interpretazioni errate per i formati di log non standard. AWS Security Lake utilizza una trasformazione basata su regole e non supporta alcuni campi non standard o personalizzati che possono essere visualizzati con formati di log proprietari.
  3. Sfide relative al controllo granulare degli accessi: Sebbene AWS Security Lake sia stato creato utilizzando IAM per il controllo degli accessi, garantire un accesso granulare a livello di campo dati rimane una delle sfide più grandi. Il servizio opera principalmente in termini di tabella o partizione ed è difficile controllare l'accesso fino alle singole colonne, per non parlare degli elementi specifici all'interno di una voce di log. Questa limitazione può rappresentare una sfida nel soddisfare le rigide normative sulla privacy dei dati che richiedono un controllo accurato su chi ha accesso a tipi specifici di informazioni.
  4. Esportazione e portabilità: poiché AWS Security Lake non dispone di funzionalità di esportazione dei dati, non sarà possibile scaricare facilmente tutte le informazioni in caso di necessità in un secondo momento. L'estrazione di grandi volumi di dati per analisi esterne o la migrazione verso un'altra piattaforma non è un'operazione semplice. Poiché non offre strumenti di esportazione pronti all'uso, gli utenti devono scrivere script personalizzati o utilizzare soluzioni di terze parti per estrarre i dati da Security Lake. Questo problema è difficile da superare in alcuni scenari, come le strategie multi-cloud, la conservazione dei dati basata sulla conformità su sistemi esterni o analisi specializzate richieste al di fuori dell'ecosistema AWS.

Potenziali sfide nell'implementazione

  1. Integrazione con gli strumenti di sicurezza esistenti: La maggior parte delle organizzazioni dispone di una combinazione di strumenti e soluzioni, il che può comportare alcune sfide in termini di integrazione. L'infrastruttura esistente è stata costruita attorno a questi sistemi legacy. Sebbene AWS Security Lake possa essere implementato in parallelo a questa linea di strumenti, è necessario il supporto di OCSF come funzionalità integrata o una personalizzazione approfondita, il che presenta molte sfide.
  2. Conformità alla governance dei dati: Con la centralizzazione delle informazioni di sicurezza, può essere difficile adattarsi agli standard industriali e normativi. Senza questo tipo di politica in materia di accesso, conservazione e condivisione dei dati, l'implementazione può diventare incredibilmente difficile.
  3. Problemi legati alle prestazioni: Quando le organizzazioni iniziano a utilizzare AWS Security Lake su larga scala, potrebbero incontrare problemi di prestazioni, soprattutto quando eseguono query su centinaia di terabyte o addirittura petabyte di dati. Le query devono essere eseguite rapidamente senza sovraccaricare il sistema, quindi spesso è necessaria un'ottimizzazione.

Conclusione

AWS Security Lake è un servizio potente e completamente gestito che consente di aggregare e analizzare centralmente i dati di sicurezza con scalabilità automatica, modelli di machine learning integrati e integrazione perfetta con le origini dati AWS (ad esempio, VPC Flow Logs), nonché ambienti on-premise o persino altri cloud. Utilizzando l'Open Cybersecurity Schema Framework (OCSF), mantiene dati di sicurezza normalizzati e standardizzati per fornire un'analisi completa delle minacce attraverso una risposta semplice basata su regole.

Il fatto è che, nel mondo cibernetico odierno, AWS Security Lake è uno strumento indispensabile per mitigare i rischi e proteggersi dalle più recenti minacce alla sicurezza. Ciò offre alle organizzazioni una visione completa del loro stato di sicurezza, fornisce capacità di rilevamento delle minacce più approfondite e semplifica la reportistica di conformità.

AWS Security Lake consente ai team di sicurezza di riunire dati provenienti da più fonti disparate in un unico repository, in modo da poter comprendere rapidamente le informazioni per una migliore risposta agli incidenti e avere una visibilità proattiva continua in un panorama di minacce sempre più sofisticato.

"

FAQs

AWS Security Lake è un nuovo servizio completamente gestito incentrato sulla centralizzazione di grandi volumi di dati di sicurezza provenienti da fonti disparate, come ambienti AWS, ambienti di fornitori SaaS, sistemi on-premise e applicazioni di terze parti, in un unico lago per l'analisi, inclusi server, app mobili o cluster Kubernetes e altro ancora, rendendolo il repository più completo della fonte aggregata di verità relativa alla sicurezza operativa in tutta l'organizzazione che utilizza il modello operativo cloud.

Automatizza la raccolta, la normalizzazione e la gestione dei log e degli eventi di sicurezza per consentire alle organizzazioni di valutare meglio il proprio livello di sicurezza informatica. Security Lake utilizza l'Open Cybersecurity Schema Framework (OCSF) per normalizzare i dati delle persone e facilitarne la consultazione e l'analisi.

È possibile utilizzare Amazon S3 come data lake. La sua capacità di archiviazione scalabile di enormi set di dati in diversi formati, strutturati e non strutturati, consente di memorizzare grandi quantità di dati. I data lake possono essere costruiti su S3 strutturando i dati per facilitarne la consultazione e l'analisi, spesso integrati con servizi AWS aggiuntivi.

Il data lake in AWS sarà rappresentato da AWS Lake Formation. Si tratta di un servizio completamente gestito che semplifica la configurazione, la protezione e la gestione dei data lake su AWS. Aiuta le organizzazioni a raccogliere, combinare e proteggere i dati provenienti da molti punti di risoluzione diversi, rendendo più facile la gestione di set di dati più grandi durante l'analisi dei dettagli raccolti.

Scopri di più su Sicurezza in-the-cloud

Che cos'è la sicurezza dell'infrastruttura cloud?Sicurezza in-the-cloud

Che cos'è la sicurezza dell'infrastruttura cloud?

La sicurezza dell'infrastruttura cloud è la pratica di proteggere l'infrastruttura virtuale e fisica delle risorse cloud da minacce esterne e interne utilizzando strumenti, tecnologie e politiche.

Per saperne di più
Elenco di controllo per il rafforzamento di Active DirectorySicurezza in-the-cloud

Elenco di controllo per il rafforzamento di Active Directory

Vuoi migliorare la sicurezza del tuo Active Directory? Scopri gli elementi chiave della checklist di rafforzamento di Active Directory e assicurati di non perderli!

Per saperne di più
5 best practice per una solida strategia di sicurezzaSicurezza in-the-cloud

5 best practice per una solida strategia di sicurezza

Buone pratiche di sicurezza possono costituire una solida base per la vostra azienda. Scoprite quali sono le più importanti nella nostra guida.

Per saperne di più
7 best practice per la sicurezza dei servizi cloud pubblici della tua organizzazioneSicurezza in-the-cloud

7 best practice per la sicurezza dei servizi cloud pubblici della tua organizzazione

Scopri perché la sicurezza del cloud pubblico è importante e quali sono le migliori pratiche che puoi implementare per migliorarla. In questa guida esamineremo quali funzionano e producono buoni risultati.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo