SEC10-BP03 Vorbereiten forensischer Funktionen - AWS Well-Architected Framework

SEC10-BP03 Vorbereiten forensischer Funktionen

Bevor es zu einem Sicherheitsvorfall kommt, empfiehlt es sich gegebenenfalls, forensische Funktionen zur Unterstützung der Untersuchung von Sicherheitsereignissen zu entwickeln.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Konzepte aus der traditionellen On-Premises-Forensik gelten auch für AWS. Wichtige Informationen für den Einstieg in den Aufbau forensischer Funktionen in der AWS Cloud finden Sie in den Strategien für forensische Untersuchungsumgebungen in der AWS Cloud.

Nachdem Sie Ihre Umgebung und AWS-Konto-Struktur für die Forensik eingerichtet haben, können Sie die Technologien definieren, die für eine effektive Anwendung forensisch fundierter Methoden in den vier Phasen erforderlich sind:

  • Sammlung: Erfassen Sie relevante AWS-Protokolle wie AWS CloudTrail, AWS Config, VPC Flow Logs und Protokolle auf Host-Ebene. Erfassen Sie Snapshots, Backups und Speicherabbilder der betroffenen AWS-Ressourcen, sofern verfügbar.

  • Prüfung: Prüfen Sie die erfassten Daten, indem Sie die relevanten Informationen extrahieren und bewerten.

  • Analyse: Analysieren Sie die erfassten Daten, um den Vorfall zu verstehen und Schlüsse daraus zu ziehen.

  • Berichterstellung: Präsentieren Sie die Informationen, die sich aus der Analysephase ergeben.

Implementierungsschritte

Vorbereiten Ihrer forensischen Umgebung

AWS Organizations hilft Ihnen bei der zentralen Verwaltung und Steuerung einer AWS-Umgebung, während Sie AWS-Ressourcen erweitern und skalieren. Eine AWS-Organisation konsolidiert Ihre AWS-Konten, sodass Sie sie als eine einzige Einheit verwalten können. Mithilfe von Organisationseinheiten können Sie Konten gruppieren und als eine Einheit verwalten.

Für die Reaktion auf Vorfälle ist es hilfreich, über eine AWS-Konto-Struktur zu verfügen, die die Funktionen der Vorfallreaktion unterstützt. Dazu gehören eine sicherheitsbezogene Organisationseinheit und eine forensische Organisationseinheit. Innerhalb der sicherheitsbezogenen Organisationseinheit sollten Sie über Konten für Folgendes verfügen:

  • Protokollarchivierung: Aggregieren Sie Protokolle in einem für die Protokollarchivierung vorgesehenen AWS-Konto mit eingeschränkten Berechtigungen.

  • Sicherheits-Tools: Zentralisieren Sie Sicherheits-Services in einem AWS-Konto für Sicherheitstools. Dieses Konto fungiert als delegierter Administrator für Sicherheits-Services.

Innerhalb der forensischen Organisationseinheit haben Sie die Möglichkeit, für jede Region, in der Sie tätig sind, eines oder mehrere forensische Konten zu implementieren, je nachdem, was für Ihr Geschäfts- und Betriebsmodell am besten geeignet ist. Wenn Sie ein forensisches Konto pro Region erstellen, können Sie die Erstellung von AWS-Ressourcen außerhalb dieser Region blockieren und so das Risiko verringern, dass Ressourcen in eine unbeabsichtigte Region kopiert werden. Wenn Sie beispielsweise nur in den Regionen „USA Ost (Nord-Virginia)“ (us-east-1) und „USA West (Oregon)“ (us-west-2) aktiv sind, würde die forensische Organisationseinheit zwei Konten umfassen: eins für us-east-1 und eins für us-west-2.

Sie können ein forensisches AWS-Konto für mehrere Regionen erstellen. Achten Sie darauf, dass Sie Ihre Anforderungen an die Datensouveränität einhalten, wenn Sie AWS-Ressourcen in dieses Konto kopieren. Da die Bereitstellung neuer Konten etwas dauert, ist es unerlässlich, die forensischen Konten rechtzeitig vor einem Vorfall einzurichten und zu instrumentieren, damit die Notfallteams vorbereitet sind und sie effektiv nutzen können.

Das folgende Diagramm zeigt eine Beispiel-Kontenstruktur mit einer forensischen Organisationseinheit mit regionsspezifischen forensischen Konten:

Flussdiagramm, das eine regionsspezifische Kontostruktur für die Reaktion auf Vorfälle zeigt und sich in eine Organisationseinheit für Sicherheit und Forensik aufteilt.

Regionsspezifische Kontenstruktur für die Reaktion auf Vorfälle

Erfassen von Backups und Snapshots

Die Einrichtung von Backups wichtiger Systeme und Datenbanken ist für die Wiederherstellung nach einem Sicherheitsvorfall und für forensische Zwecke von entscheidender Bedeutung. Mit vorhandenen Backups können Sie Ihre Systeme wieder in einen vorherigen sicheren Zustand versetzen. In AWS können Sie Snapshots von verschiedenen Ressourcen erstellen. Snapshots bieten Ihnen zeitpunktbezogene Backups dieser Ressourcen. Es gibt viele AWS-Services, die Sie beim Backup und der Wiederherstellung unterstützen können. Einzelheiten zu diesen Services und Ansätzen für Backup und Wiederherstellung finden Sie unter Präskriptive Leitlinien für Backup und Wiederherstellung sowie unter Verwendung von Backups zur Wiederherstellung nach Sicherheitsvorfällen.

Vor allem, wenn es um Situationen wie Ransomware geht, ist es wichtig, dass Ihre Backups gut geschützt sind. Hinweise zum Schutz Ihrer Backups finden Sie in den 10 besten Sicherheitsmethoden zum Schutz von Backups in AWS. Zusätzlich zum Schutz Ihrer Backups sollten Sie Ihre Backup- und Wiederherstellungsprozesse regelmäßig testen, um sicherzustellen, dass die vorhandenen Technologien und Prozesse wie erwartet funktionieren.

Automatisieren der Forensik

Während eines Sicherheitsereignisses muss Ihr Vorfallreaktionsteam in der Lage sein, schnell Nachweise zu sammeln und zu analysieren und gleichzeitig die Genauigkeit für den Zeitraum rund um das Ereignis aufrechtzuerhalten (beispielsweise durch Erfassen von Protokollen zu einem bestimmten Ereignis oder einer bestimmten Ressource oder durch Erfassen von Speicherabbildern einer Amazon-EC2-Instance). Für das Vorfallreaktionsteam ist es sowohl schwierig als auch zeitaufwändig, die relevanten Nachweise manuell zu erfassen, insbesondere bei einer großen Anzahl von Instances und Konten. Darüber hinaus kann die manuelle Erfassung anfällig für menschliche Fehler sein. Daher sollten Sie die Automatisierung für die Forensik so weit wie möglich entwickeln und implementieren.

AWS bietet eine Reihe von Automatisierungsressourcen für die Forensik, die weiter unten im Abschnitt „Ressourcen“ aufgeführt sind. Diese Ressourcen sind Beispiele für forensische Muster, die von entwickelt und von Kunden implementiert wurden. Obwohl sie für den Anfang eine nützliche Referenzarchitektur sein können, sollten Sie erwägen, sie zu ändern oder neue forensische Automatisierungsmuster zu erstellen, die auf Ihrer Umgebung, Ihren Anforderungen, Tools und forensischen Prozessen basieren.

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele: