Beseitigung - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beseitigung

Bei der Beseitigung von Sicherheitsvorfällen handelt es sich um die Entfernung verdächtiger oder nicht autorisierter Ressourcen, um das Konto wieder in einen bekannten sicheren Zustand zu versetzen. Die Strategie zur Beseitigung hängt von mehreren Faktoren ab, die von den Geschäftsanforderungen Ihres Unternehmens abhängen.

Der NIST SP 800-61 Leitfaden zur Behandlung von Computersicherheitsvorfällen enthält mehrere Schritte zur Beseitigung von Sicherheitsvorfällen:

  1. Identifizieren und beheben Sie alle Sicherheitslücken, die ausgenutzt wurden.

  2. Entfernen Sie Malware, unangemessene Materialien und andere Komponenten.

  3. Wenn weitere betroffene Hosts entdeckt werden (z. B. neue Malware-Infektionen), wiederholen Sie die Erkennungs- und Analyseschritte, um alle anderen betroffenen Hosts zu identifizieren und den Vorfall dann einzudämmen und zu beseitigen.

Bei AWS Ressourcen kann dies anhand der Ereignisse, die mithilfe verfügbarer Protokolle oder automatisierter Tools wie CloudWatch Logs und Amazon GuardDuty erkannt und analysiert werden, weiter verfeinert werden. Diese Ereignisse sollten als Grundlage für die Entscheidung dienen, welche Abhilfemaßnahmen durchgeführt werden sollten, um die Umgebung ordnungsgemäß wieder in einen bekannten sicheren Zustand zu versetzen.

Im ersten Schritt der Ausrottung wird festgestellt, welche Ressourcen innerhalb des AWS Kontos betroffen sind. Dies wird durch die Analyse Ihrer verfügbaren Protokolldatenquellen und Ressourcen und automatisierter Tools erreicht.

  • Identifizieren Sie nicht autorisierte Aktionen, die von den IAM-Identitäten in Ihrem Konto ausgeführt wurden.

  • Identifizieren Sie unbefugte Zugriffe oder Änderungen an Ihrem Konto.

  • Identifizieren Sie die Erstellung nicht autorisierter Ressourcen oder IAM-Benutzer.

  • Identifizieren Sie Systeme oder Ressourcen mit nicht autorisierten Änderungen.

Sobald die Liste der Ressourcen identifiziert ist, sollten Sie jede einzelne überprüfen, um festzustellen, welche Auswirkungen das Löschen oder Wiederherstellen der Ressource auf Ihr Unternehmen hat. Wenn beispielsweise ein Webserver Ihre Geschäftsanwendung hostet und das Löschen dieser Anwendung zu Ausfallzeiten führen würde, sollten Sie in Betracht ziehen, die Ressource aus verifizierten sicheren Backups wiederherzustellen oder das System von einem sauberen AMI aus neu zu starten, bevor Sie den betroffenen Server löschen.

Sobald Sie Ihre Geschäftsauswirkungsanalyse abgeschlossen haben, sollten Sie anhand der Ereignisse aus Ihrer Protokollanalyse die Konten überprüfen und die entsprechenden Abhilfemaßnahmen durchführen, z. B.:

  • Schlüssel rotieren oder löschen — durch diesen Schritt wird dem Akteur die Möglichkeit genommen, weiterhin Aktivitäten innerhalb des Accounts auszuführen.

  • Potenziell nicht autorisierte IAM-Benutzeranmeldedaten rotieren.

  • Löschen Sie unbekannte oder nicht autorisierte Ressourcen.

    Wichtig

    Wenn Sie Ressourcen für Ihre Untersuchung behalten müssen, sollten Sie erwägen, diese Ressourcen zu sichern. Wenn Sie beispielsweise eine EC2 Amazon-Instance aus regulatorischen, behördlichen oder rechtlichen Gründen behalten müssen, erstellen Sie einen Amazon EBS-Snapshot, bevor Sie die Instance entfernen.

  • Bei Malware-Infektionen müssen Sie sich möglicherweise an einen AWS Partner oder einen anderen Anbieter wenden. AWS bietet keine systemeigenen Tools zur Analyse oder Entfernung von Malware. Wenn Sie jedoch das GuardDuty Malware-Modul für Amazon EBS verwenden, sind möglicherweise Empfehlungen für die bereitgestellten Ergebnisse verfügbar.

Sobald Sie die identifizierten betroffenen Ressourcen gelöscht haben, AWS empfiehlt Ihnen, eine Sicherheitsüberprüfung Ihres Kontos durchzuführen. Dies kann mithilfe von AWS Config Regeln, mithilfe von Open-Source-Lösungen wie Prowler und/oder durch andere Anbieter ScoutSuite geschehen. Sie sollten auch in Betracht ziehen, Sicherheitslücken in Ihren öffentlich zugänglichen Ressourcen (Internet) zu scannen, um das Restrisiko einzuschätzen.

Die Beseitigung ist ein Schritt der Reaktion auf Vorfälle und kann je nach Vorfall und betroffenen Ressourcen manuell oder automatisiert erfolgen. Die Gesamtstrategie sollte sich an den Sicherheitsrichtlinien und Geschäftsanforderungen eines Unternehmens orientieren und sicherstellen, dass negative Auswirkungen durch das Entfernen ungeeigneter Ressourcen oder Konfigurationen gemildert werden.