Calcular las puntuaciones de seguridad
En la consola del CSPM de AWS Security Hub, las páginas Resumen y Controles muestran una vista resumida de la puntuación de seguridad en todos los estándares habilitados. En la página Estándares de seguridad, el CSPM de Security Hub también muestra una puntuación de seguridad entre 0 y 100 por ciento para cada estándar habilitado.
Cuando habilita por primera vez el CSPM de Security Hub, este calcula la puntuación de seguridad resumida y las puntuaciones de seguridad por estándar dentro de los primeros 30 minutos después de su visita inicial a la página Resumen o a la página Estándares de seguridad en la consola. Las puntuaciones se generan únicamente para los estándares que están habilitados cuando visita esas páginas en la consola. Además, debe configurar el registro de recursos de AWS Config para que aparezcan las puntuaciones La puntuación de seguridad resumida es el promedio de las puntuaciones de seguridad estándar. Para revisar la lista de estándares que están habilitados actualmente, puede usar la operación GetEnabledStandards de la API del CSPM de Security Hub.
Tras la primera generación de puntuaciones, el CSPM de Security Hub actualiza las puntuaciones de seguridad cada 24 horas. El CSPM de Security Hub muestra una marca de tiempo que indica cuándo se actualizó por última vez la puntuación de seguridad. Tenga en cuenta que la generación inicial de puntuaciones de seguridad puede tardar hasta 24 horas en las regiones de China y en AWS GovCloud (US) Regions.
Si activa los resultados de control consolidados, es posible que las puntuaciones de seguridad tarden hasta 24 horas en actualizarse. Además, al habilitar una nueva región de agregación o actualizar las regiones vinculadas, se restablecen las puntuaciones de seguridad existentes. El CSPM de Security Hub puede tardar hasta 24 horas en generar nuevas puntuaciones de seguridad que incluyan los datos de las regiones actualizadas.
Método de cálculo de las puntuaciones de seguridad
La puntuación de seguridad representa la proporción de controles superados frente a los controles habilitados. La puntuación se muestra como un porcentaje redondeado hacia arriba o hacia abajo hasta el número entero más cercano.
El CSPM de Security Hub calcula una puntuación de seguridad resumida que abarca todos los estándares que tiene habilitados. El CSPM de Security Hub también calcula una puntuación de seguridad para cada estándar habilitado. Para calcular la puntuación, los controles habilitados incluyen los controles con los estados Aprobado, Con fallos y Desconocido. Los controles cuyo estado es Sin datos se excluyen del cálculo de la puntuación.
El CSPM de Security Hub omite los resultados archivados y suprimidos al calcular el estado de los controles. Esto puede afectar a las puntuaciones de seguridad. Por ejemplo, si suprime todos los resultados fallidos de un control, su estado pasa a ser Aprobado, lo que a su vez puede mejorar sus puntuaciones de seguridad. Para obtener más información sobre el estado de control, consulte Evaluación del estado de cumplimiento y del estado del control.
Ejemplo de puntuación:
| Estándar | Controles superados | Controles con errores | Controles desconocidos | Puntuación estándar |
|---|---|---|---|---|
|
AWS Foundational Security Best Practices v1.0.0 |
168 |
22 |
0 |
88 % |
|
CIS AWS Foundations Benchmark v1.4.0 |
8 |
29 |
0 |
22% |
|
CIS AWS Foundations Benchmark v1.2.0 |
6 |
35 |
0 |
15 % |
|
Publicación especial 800-53 del NIST, revisión 5 |
159 |
56 |
0 |
74 % |
|
PCI DSS v3.2.1 |
28 |
17 |
0 |
62 % |
Al calcular la puntuación de seguridad resumida, el CSPM de Security Hub contabiliza cada control una sola vez, incluso si pertenece a varios estándares. Por ejemplo, si ha habilitado un control que se aplica a tres estándares habilitados, solo cuenta como un control habilitado a efectos de puntuación.
En este ejemplo, aunque el número total de controles habilitados en todos los estándares es 528, el CSPM de Security Hub cuenta cada control único solo una vez para fines de puntuación. Es probable que el número de controles habilitados únicos sea inferior a 528. Si suponemos que el número de controles habilitados únicos es 515 y el número de controles únicos aprobados es 357, la puntuación resumida es del 69 %. Esta puntuación se calcula dividiendo el número de controles únicos aprobados entre el número de controles únicos habilitados.
Puede obtener una puntuación resumida distinta de la puntuación estándar, incluso si solo habilitó un estándar en su cuenta dentro de la región actual. Esto puede suceder si inició sesión con una cuenta de administrador y las cuentas de miembro tienen estándares adicionales o estándares diferentes habilitados. Esto también puede suceder si consulta la puntuación desde la región de agregación y existen estándares adicionales o distintos habilitados en regiones vinculadas.
Puntuaciones de seguridad para las cuentas de administrador
Si ha iniciado sesión en una cuenta de administrador, la puntuación de seguridad resumida y la puntuación estándar representan los estados de control de la cuenta de administrador y de todas las cuentas de los miembros.
Si el estado de un control es Con fallos incluso en la cuenta de un miembro, su estado es Con fallos en la cuenta de administrador y afecta a las puntuaciones de la cuenta de administrador.
Si ha iniciado sesión en una cuenta de administrador y está consultando las puntuaciones de una región de agregación, las puntuaciones de seguridad representan los estados de control de todas las cuentas de los miembros y de todas las regiones vinculadas.
Puntuaciones de seguridad si ha establecido una región de agregación
Si ha establecido una agregación de Región de AWS, la puntuación de seguridad resumida y las puntuaciones estándar representan los estados de control en todas las regiones vinculadas.
Si el estado de un control es Con fallos incluso en una región vinculada, su estado es Con fallos en la región de agregación y afecta a las puntuaciones de la región de agregación.
Si ha iniciado sesión en una cuenta de administrador y está consultando las puntuaciones de una Región de agregación, las puntuaciones de seguridad representan los estados de control de todas las cuentas de los miembros y de todas las regiones vinculadas.
