This content originally appeared on DEV Community and was authored by Diana Castro
Una de mis metas más ambiciosas para este año —que incluso dejé por escrito en un artículo — es convertirme en AWS Ambassador. Claro, ese reconocimiento no se otorga por azar. Depende de varios factores: el trabajo diario como parte de un partner, la creación de contenido como artículos, conferencias, investigación, y también el nivel de certificación técnica y otros factores más. De todo eso, solo hay algo que realmente está en mis manos: mi esfuerzo y constancia.
Uno de los hitos clave en ese camino es aprobar dos certificaciones avanzadas. Una de las que seleccioné: AWS Certified Security – Specialty. Esta certificación cubre temas que no solo son requeridos y complejos, sino también profundamente útiles y apasionantes. Representa un verdadero reto, y aunque puede que me toque intentarlo más de una vez, estoy comprometida a lograrlo.
Llevo ya tiempo estudiando pero he tenido que interrumpir el estudio por muchos factores externos. Recientemente me detuve a pensar:
¿Y si este camino no lo hago sola? ¿Y si mis apuntes, mis hallazgos, mis dudas y descubrimientos le sirven a otras personas?
Así nace esta serie: Rumbo AWS Certified Security Specialty – Bitácora de Vuelo de una Builder
Este será un espacio para compartir:
- Conceptos clave
- Cosas que me resultan difíciles
- Curiosidades o detalles que ayudan a conectar puntos
Si estás en tu propio viaje hacia esta certificación o simplemente quieres fortalecer tu dominio de la seguridad en AWS, te invito a acompañarme.
Fecha Estelar 1: ASFF
En esta primera entrada… me encontré con algo inesperado.
Revisando la guía oficial del examen —como debe ser antes de lanzarse a estudiar en serio— fui leyendo tema por tema, conceptos a dominar como:
Criptografía
Modelo de responsabilidad compartida
Respuesta ante incidentes
Logging y monitoreo
Todo dentro de lo esperado… hasta que… En el dominio de detección de amenazas y respuesta ante incidentes, leo un término que me dejó completamente en blanco:
AWS Security Finding Format (ASFF) ¿¡ASFF qué!?
Confieso que tragué grueso. No tenía ni idea de qué era. Y ese tipo de cosas, cuando uno está arrancando un reto grande, pueden sentirse como un golpe al ánimo.
¿Cómo es que nunca había oído hablar de esto? , ¿Cómo algo tan importante se me ha pasado por alto?
Pero luego lo pensé bien: estoy aprendiendo desde el momento en que leo la guía, y eso ya es un buen comienzo.
Y ahí me picó la curiosidad (Por dicha, la curiosidad buena… y no la que mató al gato).
¿Qué es ASFF?
Antes de ir al grano, empecemos por el principio. Cuando herramientas especializadas como GuardDuty, Inspector, Detective o Macie, entre otros, identifican actividad sospechosa, maliciosa, o una configuración pobremente realizada, se genera un hallazgo de seguridad.
Aquí es donde entra ASFF (AWS Security Finding Format), que corresponde a un formato JSON estandarizado para presentar precisamente los hallazgos detectados de manera normalizada. Proporciona una estructura común para facilitar:
- Integración entre diferentes servicios y con herramientas de terceros
- Automatizar acciones con EventBridge o Lambda
De acuerdo con la documentación oficial de AWS Security Hub, los siguientes atributos top-level son obligatorios para cualquier entrada válida:
| Campo | Descripción |
|---|---|
| AwsAccountId | ID de la cuenta AWS donde ocurrió el hallazgo. |
| CreatedAt | Fecha/hora en que se creó el hallazgo (formato ISO 8601). |
| Description | Descripción detallada del hallazgo. |
| GeneratorId | Identificador del componente o servicio que generó el hallazgo. |
| Id | Identificador único del hallazgo (ej. un ARN). |
| ProductArn | ARN del producto que generó el hallazgo (ej. GuardDuty, Macie). |
| Resources | Lista de recursos afectados (al menos uno, con Type e Id). |
| SchemaVersion | Versión del esquema ASFF. Actualmente: "2018-10-08". |
| Severity | Severidad del hallazgo (INFORMATIONAL, LOW, MEDIUM, HIGH, etc.). |
| Title | Título del hallazgo. |
| Types | Clasificación del hallazgo (ej. tipo MITRE, CVE, vulnerabilidad, etc.). |
| UpdatedAt | Fecha/hora de la última actualización del hallazgo (formato ISO 8601). |
ASFF en casos de la vida real
¿Cómo podemos sacarle provecho al ASFF en un escenario real?
Imaginemos que el equipo de seguridad necesita recibir una notificación cada vez que se genere un hallazgo de criticidad media o alta.
Para lograrlo, podemos crear una regla en Amazon EventBridge que capture cualquier hallazgo de AWS Security Hub con esas características y ejecute una acción automática.
El procedimiento sería:
- En EventBridge, creamos una nueva regla.
- Seleccionamos “Patrón personalizado”.
- Insertamos un JSON que contenga al menos los campos mínimos necesarios: el servicio que genera el hallazgo y el nivel de severidad.
- Configuramos un tema de Amazon SNS como destino.
- Definimos los roles necesarios.
¡Y listo!
Ya tenemos una regla que permite al equipo de seguridad enterarse de inmediato cuando se detecta un hallazgo relevante.
Conclusión
Explorar el universo de la seguridad en AWS puede ser desafiante, pero cada territorio desconocido, cada nebulosa es una oportunidad para aprender y fortalecer nuestra nave. Esta certificación no se trata solo de pasar un examen, sino de desarrollar una mentalidad que priorice la protección, la detección oportuna y la respuesta efectiva.
La ignorancia no es el enemigo, sino el punto de partida.
Así que si al igual que yo viste algo en la guía y pensaste “¿qué rayos es esto?”, estás en el camino correcto: el del aprendizaje real.
Bitácora cerrada por ahora.
This content originally appeared on DEV Community and was authored by Diana Castro