SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle - AWS Well-Architected Framework

SEC10-BP04 Entwickeln und Testen von Playbooks für die Reaktion auf Sicherheitsvorfälle

Ein wichtiger Teil der Vorbereitung Ihrer Prozesse zur Vorfallsreaktion ist die Entwicklung von Playbooks. Playbooks für die Vorfallsreaktion enthalten eine Reihe von präskriptiven Anleitungen und Schritten, die Sie befolgen müssen, wenn ein Sicherheitsereignis eintritt. Eine klare Struktur und klare Schritte vereinfachen die Reaktion und verringern die Wahrscheinlichkeit menschlicher Fehler.

Risikostufe bei fehlender Befolgung dieser Best Practice: Mittel

Implementierungsleitfaden

Playbooks sollten für Vorfallsszenarien wie die folgenden erstellt werden:

  • Erwartete Vorfälle: Sie sollten Playbooks für zu erwartende Vorfälle erstellen. Dazu gehören Bedrohungen wie Denial of Service (DoS), Ransomware und die Kompromittierung von Anmeldeinformationen.

  • Bekannte Sicherheitserkenntnisse oder Warnungen: Sie sollten Playbooks für Ihre bekannten Sicherheitserkenntnisse und Warnmeldungen wie GuardDuty-Ergebnisse erstellen. Möglicherweise erhalten Sie eine GuardDuty-Erkenntnis und denken: „Wie geht es weiter?“ Um zu verhindern, dass eine GuardDuty-Erkenntnis unsachgemäß gehandhabt oder ignoriert wird, sollten Sie für jede potenzielle GuardDuty-Erkenntnis ein Playbook erstellen. Einige Einzelheiten und Anleitungen zur Mängelbeseitigung finden Sie in der GuardDuty-Dokumentation. Es ist erwähnenswert, dass GuardDuty standardmäßig nicht aktiviert ist und dafür Kosten anfallen. Weitere Informationen finden GuardDuty Sie in Anhang A: Definitionen der Cloud-Funktionen –Sichtbarkeit und Warnmeldungen.

Playbooks sollten technische Schritte enthalten, die ein Sicherheitsanalyst ausführen muss, um einen potenziellen Sicherheitsvorfall angemessen zu untersuchen und darauf zu reagieren.

Implementierungsschritte

Zu den Elementen, die in ein Playbook aufgenommen werden sollten, gehören:

  • Playbook-Übersicht: Welches Risiko- oder Vorfallszenario behandelt dieses Playbook? Was ist das Ziel des Playbooks?

  • Voraussetzungen: Welche Protokolle, Erkennungsmechanismen und automatisierten Tools sind für dieses Vorfallszenario erforderlich? Wie lautet die erwartete Benachrichtigung?

  • Kommunikations- und Eskalationsinformationen: Wer ist beteiligt und wie lauten ihre Kontaktinformationen? Welche Verantwortlichkeiten haben die einzelnen Interessenvertreter?

  • Reaktionsschritte: Welche taktischen Maßnahmen sollten in allen Phasen der Vorfallsreaktion ergriffen werden? Welche Abfragen sollte ein Analyst ausführen? Welcher Code sollte ausgeführt werden, um das gewünschte Ergebnis zu erzielen?

    • Erkennen: Wie wird der Vorfall erkannt?

    • Analysieren: Wie wird der Umfang der Auswirkungen bestimmt?

    • Eindämmen: Wie wird der Vorfall isoliert, um den Umfang zu begrenzen?

    • Beseitigen: Wie wird die Bedrohung aus der Umgebung entfernt?

    • Wiederherstellen: Wie wird das betroffene System oder die betroffene Ressource wieder in der Produktion bereitgestellt?

  • Erwartete Ergebnisse: Was ist das erwartete Ergebnis des Playbooks, nachdem Abfragen und Code ausgeführt wurden?

Ressourcen

Zugehörige bewährte Methoden für Well-Architected:

Zugehörige Dokumente: