AWS Security Hub: Echtzeit-Risikoanalyse und automatisierte Bedrohungskorrelation jetzt verfügbar

Zentrale Sicherheitsüberwachung für AWS-Infrastrukturen + Amazon Web Services hat die allgemeine Verfügbarkeit von AWS Security Hub bekannt gegeben – nach der Vorstellung auf der re:Inforce 2025 Konferenz. Die Plattform konsolidiert Sicherheitsdaten aus verschiedenen AWS-Diensten und ermöglicht eine einheitliche Überwachung von Cloud-Infrastrukturen.

Security Hub adressiert ein verbreitetes Problem in Unternehmensumgebungen: Sicherheitsteams müssen üblicherweise Informationen aus unterschiedlichen Tools manuell zusammenführen – von Schwachstellenscannern über Threat-Detection-Systeme bis hin zu Compliance-Werkzeugen. Dieser manuelle Abgleich verzögert die Reaktion auf Sicherheitsvorfälle erheblich.

Automatische Korrelation ersetzt manuelle Auswertung

Die neue Lösung aggregiert automatisch Meldungen von Amazon GuardDuty (Bedrohungserkennung), Amazon Inspector (Schwachstellenmanagement), AWS Security Hub CSPM (Cloud Security Posture Management) und Amazon Macie (Erkennung sensibler Daten). Die Plattform ordnet diese Informationen nach Bedrohungskategorien, Risikostufen und betroffenen Ressourcen.

Für Einzelkonten ebenso wie für komplette AWS Organizations-Strukturen verfügbar, berechnet Security Hub Risikobewertungen ohne zeitliche Verzögerung. Erkennt GuardDuty beispielsweise verdächtige Aktivitäten auf einer EC2-Instanz, während Inspector dort gleichzeitig kritische Schwachstellen identifiziert, verknüpft das System beide Befunde automatisch zu einem priorisierten Risikoereignis.

Dashboard mit Jahresübersicht und Trendanalysen

Das zentrale Dashboard bietet historische Auswertungen für bis zu zwölf Monate. Administratoren können Entwicklungen im Tages-, Wochen- oder Monatsvergleich nachvollziehen und so Verschlechterungen oder Verbesserungen der Sicherheitslage zeitnah erkennen.

Anpassbare Widgets zeigen aktive Bedrohungen, bestehende Schwachstellen und Ressourcenbestände an. Die Darstellung lässt sich nach Schweregraden filtern – von kritisch über hoch und mittel bis niedrig. Gespeicherte Filterkombinationen mit UND/ODER-Verknüpfungen bleiben über Sitzungen hinweg erhalten.

Lücken in der Sicherheitsabdeckung identifizieren

Ein spezielles Widget zur Sicherheitsabdeckung visualisiert, für welche AWS-Konten und Regionen Schutzmechanismen aktiviert sind. Die prozentuale Darstellung macht deutlich, wo möglicherweise keine Überwachung von Bedrohungen, Fehlkonfigurationen oder sensiblen Daten stattfindet.

Bei regionenübergreifender Konfiguration fasst das Dashboard alle verknüpften Regionen zusammen. In AWS Organizations-Strukturen mit delegierten Administratorkonten erscheinen sowohl Daten des Administratorkontos als auch aller Mitgliedskonten. Trendinformationen speichert das System ein Jahr lang, danach erfolgt automatische Löschung.

Sofortige Neubewertung nach Gegenmaßnahmen

Entscheidend ist die unmittelbare Neuberechnung von Risiken nach Änderungen an der Infrastruktur. Beheben Administratoren eine Fehlkonfiguration oder schließen eine Schwachstelle, aktualisiert Security Hub die Risikobewertung ohne Wartezeit auf geplante Scans.

Als Beispiel nennt AWS einen S3-Bucket mit sensiblen Daten, bei dem Versionierung, Object Lock und Multi-Faktor-Authentifizierung für Löschvorgänge deaktiviert sind. Nach Aktivierung einer dieser Schutzfunktionen kalkuliert das System sofort neu – Administratoren sehen unmittelbar, wie sich einzelne Maßnahmen auf das Gesamtrisiko auswirken.

Visualisierung potenzieller Angriffspfade

Die Detailansicht einzelner Risikobefunde enthält Diagramme möglicher Angriffswege. Diese zeigen, wie Angreifer theoretisch Zugriff auf Ressourcen erlangen könnten – inklusive aller beteiligten Komponenten wie VPCs, Subnetze, Sicherheitsgruppen, IAM-Rollen und angehängte Volumes.

Befunde erscheinen nach Titel und Schweregrad gruppiert, etwa „Potenzielle Datenzerstörung: S3-Bucket ohne Versionierung und Object Lock“ oder „Potenzielle Remote-Code-Ausführung: Öffentlich erreichbare EC2-Instanz mit Software-Schwachstellen“. Der Abschnitt mit Behebungsempfehlungen priorisiert, welche Maßnahmen den größten Sicherheitsgewinn bringen.

Integration in bestehende Workflows

Für das Incident Management bestehen Anbindungen an Jira und ServiceNow. Aus der Security Hub-Konsole heraus lassen sich direkt Tickets erstellen, wobei Befunddetails, Schweregrade und Empfehlungen automatisch übertragen werden. Automatisierungsregeln können Tickets auch ohne manuellen Eingriff anlegen, sobald definierte Kriterien erfüllt sind.

Befunde liegen im Open Cybersecurity Schema Framework (OCSF) vor, einem quelloffenen Standard für den Datenaustausch zwischen Sicherheitswerkzeugen. Partner wie CrowdStrike, Splunk, SentinelOne, Datadog, Dynatrace und weitere haben bereits OCSF-Integrationen entwickelt. Beratungsunternehmen wie Accenture, Deloitte, PwC und Wipro unterstützen bei der Implementierung.

Über Amazon EventBridge sind automatisierte Reaktionen möglich: EventBridge-Regeln identifizieren Befunde anhand festgelegter Kriterien und leiten sie an AWS Lambda-Funktionen oder Systems Manager Automation-Runbooks zur automatischen Behebung weiter.

Verfügbarkeit und Kostenmodell

Bestehende Nutzer von AWS Security Hub CSPM, GuardDuty, Inspector oder Macie können die neuen Funktionen über die Security Hub-Konsole aktivieren. Neukunden schalten Security Hub über die AWS Management Console frei und wählen die benötigten Sicherheitsdienste aus.

Echtzeit-Risikoberechnung und Trendfunktionen sind ohne Aufpreis enthalten. Security Hub verwendet ein ressourcenbasiertes Preismodell, das Kosten für alle integrierten Sicherheitsdienste zusammenfasst. Ein eingebauter Kostenrechner ermöglicht Vorabschätzungen für alle Konten und Regionen.

Informationen zur regionalen Verfügbarkeit finden sich auf der AWS-Seite zu Services nach Regionen. Details zu Funktionsumfang, unterstützten Integrationen und Preisgestaltung sind auf der Produktseite und in der technischen Dokumentation verfügbar.

Ursprünglich veröffentlicht von AWS

Weitere spannende Beiträge:

---