SEC10-BP03 Vorbereiten forensischer Funktionen
Bevor es zu einem Sicherheitsvorfall kommt, empfiehlt es sich gegebenenfalls, forensische Funktionen zur Unterstützung der Untersuchung von Sicherheitsereignissen zu entwickeln.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Konzepte aus der traditionellen On-Premises-Forensik gelten auch für AWS. Wichtige Informationen für den Einstieg in den Aufbau forensischer Funktionen in der AWS Cloud finden Sie in den Strategien für forensische Untersuchungsumgebungen in der AWS Cloud
Nachdem Sie Ihre Umgebung und AWS-Konto-Struktur für die Forensik eingerichtet haben, können Sie die Technologien definieren, die für eine effektive Anwendung forensisch fundierter Methoden in den vier Phasen erforderlich sind:
-
Sammlung: Erfassen Sie relevante AWS-Protokolle wie AWS CloudTrail, AWS Config, VPC Flow Logs und Protokolle auf Host-Ebene. Erfassen Sie Snapshots, Backups und Speicherabbilder der betroffenen AWS-Ressourcen, sofern verfügbar.
-
Prüfung: Prüfen Sie die erfassten Daten, indem Sie die relevanten Informationen extrahieren und bewerten.
-
Analyse: Analysieren Sie die erfassten Daten, um den Vorfall zu verstehen und Schlüsse daraus zu ziehen.
-
Berichterstellung: Präsentieren Sie die Informationen, die sich aus der Analysephase ergeben.
Implementierungsschritte
Vorbereiten Ihrer forensischen Umgebung
AWS Organizations
Für die Reaktion auf Vorfälle ist es hilfreich, über eine AWS-Konto-Struktur zu verfügen, die die Funktionen der Vorfallreaktion unterstützt. Dazu gehören eine sicherheitsbezogene Organisationseinheit und eine forensische Organisationseinheit. Innerhalb der sicherheitsbezogenen Organisationseinheit sollten Sie über Konten für Folgendes verfügen:
-
Protokollarchivierung: Aggregieren Sie Protokolle in einem für die Protokollarchivierung vorgesehenen AWS-Konto mit eingeschränkten Berechtigungen.
-
Sicherheits-Tools: Zentralisieren Sie Sicherheits-Services in einem AWS-Konto für Sicherheitstools. Dieses Konto fungiert als delegierter Administrator für Sicherheits-Services.
Innerhalb der forensischen Organisationseinheit haben Sie die Möglichkeit, für jede Region, in der Sie tätig sind, eines oder mehrere forensische Konten zu implementieren, je nachdem, was für Ihr Geschäfts- und Betriebsmodell am besten geeignet ist. Wenn Sie ein forensisches Konto pro Region erstellen, können Sie die Erstellung von AWS-Ressourcen außerhalb dieser Region blockieren und so das Risiko verringern, dass Ressourcen in eine unbeabsichtigte Region kopiert werden. Wenn Sie beispielsweise nur in den Regionen „USA Ost (Nord-Virginia)“ (us-east-1
) und „USA West (Oregon)“ (us-west-2
) aktiv sind, würde die forensische Organisationseinheit zwei Konten umfassen: eins für us-east-1
und eins für us-west-2
.
Sie können ein forensisches AWS-Konto für mehrere Regionen erstellen. Achten Sie darauf, dass Sie Ihre Anforderungen an die Datensouveränität einhalten, wenn Sie AWS-Ressourcen in dieses Konto kopieren. Da die Bereitstellung neuer Konten etwas dauert, ist es unerlässlich, die forensischen Konten rechtzeitig vor einem Vorfall einzurichten und zu instrumentieren, damit die Notfallteams vorbereitet sind und sie effektiv nutzen können.
Das folgende Diagramm zeigt eine Beispiel-Kontenstruktur mit einer forensischen Organisationseinheit mit regionsspezifischen forensischen Konten:
Erfassen von Backups und Snapshots
Die Einrichtung von Backups wichtiger Systeme und Datenbanken ist für die Wiederherstellung nach einem Sicherheitsvorfall und für forensische Zwecke von entscheidender Bedeutung. Mit vorhandenen Backups können Sie Ihre Systeme wieder in einen vorherigen sicheren Zustand versetzen. In AWS können Sie Snapshots von verschiedenen Ressourcen erstellen. Snapshots bieten Ihnen zeitpunktbezogene Backups dieser Ressourcen. Es gibt viele AWS-Services, die Sie beim Backup und der Wiederherstellung unterstützen können. Einzelheiten zu diesen Services und Ansätzen für Backup und Wiederherstellung finden Sie unter Präskriptive Leitlinien für Backup und Wiederherstellung sowie unter Verwendung von Backups zur Wiederherstellung nach Sicherheitsvorfällen
Vor allem, wenn es um Situationen wie Ransomware geht, ist es wichtig, dass Ihre Backups gut geschützt sind. Hinweise zum Schutz Ihrer Backups finden Sie in den 10 besten Sicherheitsmethoden zum Schutz von Backups in AWS
Automatisieren der Forensik
Während eines Sicherheitsereignisses muss Ihr Vorfallreaktionsteam in der Lage sein, schnell Nachweise zu sammeln und zu analysieren und gleichzeitig die Genauigkeit für den Zeitraum rund um das Ereignis aufrechtzuerhalten (beispielsweise durch Erfassen von Protokollen zu einem bestimmten Ereignis oder einer bestimmten Ressource oder durch Erfassen von Speicherabbildern einer Amazon-EC2-Instance). Für das Vorfallreaktionsteam ist es sowohl schwierig als auch zeitaufwändig, die relevanten Nachweise manuell zu erfassen, insbesondere bei einer großen Anzahl von Instances und Konten. Darüber hinaus kann die manuelle Erfassung anfällig für menschliche Fehler sein. Daher sollten Sie die Automatisierung für die Forensik so weit wie möglich entwickeln und implementieren.
AWS bietet eine Reihe von Automatisierungsressourcen für die Forensik, die weiter unten im Abschnitt „Ressourcen“ aufgeführt sind. Diese Ressourcen sind Beispiele für forensische Muster, die von entwickelt und von Kunden implementiert wurden. Obwohl sie für den Anfang eine nützliche Referenzarchitektur sein können, sollten Sie erwägen, sie zu ändern oder neue forensische Automatisierungsmuster zu erstellen, die auf Ihrer Umgebung, Ihren Anforderungen, Tools und forensischen Prozessen basieren.
Ressourcen
Zugehörige Dokumente:
-
Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS: Entwickeln forensischer Funktionen
-
Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS: Forensische Ressourcen
-
Strategien für forensische Untersuchungsumgebungen in der AWS Cloud
-
Präskriptive AWS-Anleitung: Automatisieren der Vorfallreaktion und Forensik
Zugehörige Videos:
Zugehörige Beispiele: