SEC10-BP02 Entwickeln Sie Pläne für das Vorfallmanagement - AWS Well-Architected Framework
ImplementierungsleitfadenImplementierungsschritteRessourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC10-BP02 Entwickeln Sie Pläne für das Vorfallmanagement

Das erste Dokument, das für die Vorfallreaktion entwickelt werden muss, ist der Vorfallreaktionsplan. Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert.

Vorteile der Nutzung dieser bewährten Methode: Die Entwicklung durchdachter und klar definierter Prozesse zur Vorfallreaktion ist der Schlüssel zu einem erfolgreichen und skalierbaren Vorfallreaktionsprogramm. Wenn ein Sicherheitsereignis eintritt, können Ihnen klare Schritte und Workflows dabei helfen, rechtzeitig zu reagieren. Möglicherweise verfügen Sie bereits über Prozesse zur Vorfallreaktion. Unabhängig von Ihrem aktuellen Status ist es wichtig, Ihre Prozesse zur Vorfallreaktion regelmäßig zu aktualisieren, zu wiederholen und zu testen.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Ein Vorfallmanagementplan ist von entscheidender Bedeutung, um auf Sicherheitsvorfälle zu reagieren, sie einzudämmen und ihre potenziellen Folgen zu beheben. Ein Vorfallmanagementplan ist ein strukturierter Prozess für die Identifizierung und Behebung von Sicherheitsvorfällen sowie die zeitnahe Reaktion darauf.

In der Cloud gibt es viele der betrieblichen Rollen und Anforderungen, die auch für eine On-Premises-Umgebung typisch sind. Bei der Erstellung eines Vorfallmanagementplans ist es wichtig, Reaktions- und Wiederherstellungsstrategien zu berücksichtigen, die optimal zu Ihren Anforderungen an geschäftliche Ergebnisse und Compliance passen. Wenn Sie beispielsweise Workloads in den USA betreiben, AWS die den Anforderungen der US-Notenbank RAMP entsprechen, ist es hilfreich, sich an den NISTSP 800-61 Computer Security Handling Guide zu halten. In ähnlicher Weise sollten Sie beim Betrieb von Workloads mit europäischen personenbezogenen Daten (PII) Szenarien in Betracht ziehen, z. B. wie Sie Probleme im Zusammenhang mit dem Datenspeicherort schützen und entsprechend den Bestimmungen der Allgemeinen Datenschutzverordnung () der EU () behandeln könnten. GDPR

Beginnen Sie bei der Erstellung eines Vorfallmanagementplans für Ihre Workloads mit dem Modell der AWS gemeinsamen Verantwortung AWS, um einen defense-in-depth Ansatz für die Reaktion auf Vorfälle zu entwickeln. In diesem Modell wird die Sicherheit der Cloud AWS verwaltet, und Sie sind für die Sicherheit in der Cloud verantwortlich. Das bedeutet, dass Sie die Kontrolle behalten und für die Sicherheitskontrollen verantwortlich sind, für deren Implementierung Sie sich entscheiden. Der Leitfaden für AWS Security Incident Response enthält zentrale Konzepte und grundlegende Anleitungen für den Aufbau eines Cloud-basierten Vorfallmanagementplans.

Ein effektiver Vorfallmanagementplan muss kontinuierlich durchlaufen und stets an die Ziele Ihrer Cloud-Operationen angepasst werden. Erwägen Sie die Verwendung der nachfolgend erläuterten Implementierungspläne für die Erstellung und Weiterentwicklung Ihres Vorfallmanagementplans.

Implementierungsschritte

Definieren von Rollen und Zuständigkeiten

Der Umgang mit Sicherheitsereignissen erfordert organisationsübergreifende Disziplin und Handlungsbereitschaft. Innerhalb Ihrer Organisationsstruktur sollte es viele Personen geben, die für einen Vorfall verantwortlich und rechenschaftspflichtig sind sowie konsultiert oder auf dem Laufenden gehalten werden. Beispiele wären etwa Vertreter der Personalabteilung (HR), des Führungsteams und der Rechtsabteilung. Berücksichtigen Sie diese Rollen und Verantwortlichkeiten sowie die Frage, ob Dritte eingebunden werden müssen. Beachten Sie, dass in vielen Regionen lokale Gesetze gelten, die regeln, was getan werden sollte und was nicht. Auch wenn es bürokratisch erscheinen mag, ein Diagramm mit Verantwortung, Rechenschaftspflicht, Rücksprache und Information (RACI) für Ihre Pläne zur Reaktion auf die Sicherheit zu erstellen, erleichtert dies eine schnelle und direkte Kommunikation und beschreibt klar und deutlich, wie die Leitung in den verschiedenen Phasen der Veranstaltung abläuft.

Bei einem Vorfall ist es wichtig, die Eigentümer und Entwickler der betroffenen Anwendungen und Ressourcen einzubeziehen, da es sich um Fachexperten (SMEs) handelt, die Informationen und den Kontext bereitstellen können, um die Auswirkungen zu messen. Üben Sie und bauen Sie Beziehungen zu den Entwicklern und Anwendungsbesitzern auf, bevor Sie sich bei der Vorfallreaktion auf deren Fachwissen verlassen. Anwendungseigentümer oderSMEs, wie z. B. Ihre Cloud-Administratoren oder Techniker, müssen möglicherweise in Situationen handeln, in denen die Umgebung unbekannt oder komplex ist oder in denen die Einsatzkräfte keinen Zugriff haben.

Zu guter Letzt können auch vertrauenswürdige Partner in die Untersuchung oder Reaktion einbezogen werden, da sie zusätzliches Fachwissen und wertvolle Einblicke bereitstellen können. Wenn Sie in Ihrem eigenen Team nicht über diese Fähigkeiten verfügen, sollten Sie eine externe Partei mit der Unterstützung beauftragen.

Machen Sie sich mit AWS Reaktionsteams und Support vertraut

  • AWS Support

    • AWS Supportbietet eine Reihe von Tarifen, die Zugriff auf Tools und Fachwissen bieten, die den Erfolg und die Funktionsfähigkeit Ihrer AWS Lösungen unterstützen. Wenn Sie technischen Support und mehr Ressourcen für die Planung, Bereitstellung und Optimierung Ihrer AWS Umgebung benötigen, können Sie einen Supportplan wählen, der am besten zu Ihrem AWS Anwendungsfall passt.

    • Betrachten Sie das Support Center AWS Management Console (Anmeldung erforderlich) als zentrale Anlaufstelle, um Support bei Problemen zu erhalten, die Ihre AWS Ressourcen betreffen. Der Zugriff auf AWS Support wird gesteuert von AWS Identity and Access Management. Weitere Informationen zum Zugriff auf AWS Support Funktionen finden Sie unter Erste Schritte mit AWS Support.

  • AWS Team zur Reaktion auf Kundenvorfälle (CIRT)

    • Das AWS Customer Incident Response Team (CIRT) ist ein spezialisiertes globales AWS Team, das rund um die Uhr verfügbar ist und Kunden bei aktiven Sicherheitsvorfällen auf Kundenseite im Rahmen des Modells der AWS gemeinsamen Verantwortung unterstützt.

    • Wenn es Sie AWS CIRT unterstützt, bietet es Ihnen Unterstützung bei der Suche und Wiederherstellung bei einem aktiven Sicherheitsereignis am AWS. Mithilfe von AWS Serviceprotokollen können sie Sie bei der Ursachenanalyse unterstützen und Ihnen Empfehlungen für die Wiederherstellung geben. Sie können Ihnen auch Sicherheitsempfehlungen und bewährte Methoden an die Hand geben, mit denen Sie Sicherheitsereignisse in Zukunft vermeiden können.

    • AWS Kunden können sie AWS CIRT anhand eines AWS Support Falls kontaktieren.

  • DDoSUnterstützung bei der Beantwortung

    • AWS bietet AWS Shieldeinen verwalteten Dienst zum Schutz vor verteilten Denial-of-Service (DDoS), der Webanwendungen schützt, auf denen ausgeführt wird. AWS Shield bietet eine ständig aktive Erkennung und automatische Inline-Abwehrmaßnahmen, mit denen Ausfallzeiten und Latenz von Anwendungen minimiert werden können, sodass kein Eingreifen erforderlich ist, um vom Schutz AWS Support zu profitieren. DDoS Es gibt zwei Stufen von Shield: AWS Shield Standard und AWS Shield Advanced. Weitere Informationen zu den Unterschieden zwischen diesen beiden Stufen finden Sie in der Shield-Funktionsdokumentation.

  • AWS Managed Services (AMS)

    • AWS Managed Services (AMS) ermöglicht die kontinuierliche Verwaltung Ihrer AWS Infrastruktur, sodass Sie sich auf Ihre Anwendungen konzentrieren können. Durch die Implementierung von Best Practices zur Wartung Ihrer Infrastruktur tragen Sie AMS dazu bei, Ihren betrieblichen Aufwand und Ihr Risiko zu reduzieren. AMSautomatisiert gängige Aktivitäten wie Änderungsanforderungen, Überwachung, Patch-Management, Sicherheit und Backup-Services und bietet Services über den gesamten Lebenszyklus für die Bereitstellung, den Betrieb und den Support Ihrer Infrastruktur.

    • AMSübernimmt die Verantwortung für die Implementierung einer Reihe von Sicherheitsfunktionen und bietet rund um die Uhr eine erste Reaktionslinie bei Warnmeldungen. Wenn eine Warnung ausgelöst wird, AMS folgt sie einem Standardsatz automatisierter und manueller Abläufe, um sicherzustellen, dass eine konsistente Reaktion gewährleistet ist. Diese Playbooks werden den AMS Kunden beim Onboarding zur Verfügung gestellt, sodass sie eine Reaktion entwickeln und mit ihnen abstimmen können. AMS

Erstellen des Vorfallreaktionsplans

Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert. Er sollte immer formell schriftlich festgehalten werden. Ein Vorfallreaktionsplan enthält in der Regel folgende Abschnitte:

  • Überblick über das Vorfallreaktionsteam: Enthält die Ziele und Funktionen des Vorfallreaktionsteams.

  • Rollen und Zuständigkeiten: Hier werden die für die Vorfallreaktion zuständigen Stakeholder aufgeführt und ihre Rollen im Falle eines Vorfalls beschrieben.

  • Kommunikationsplan: Enthält Kontaktinformationen und gibt an, wie Sie während eines Vorfalls kommunizieren.

  • Backup-Kommunikationsmethoden: Es hat sich bewährt, die out-of-band Kommunikation als Backup für die Kommunikation bei Zwischenfällen zu verwenden. Ein Beispiel für eine Anwendung, die einen sicheren out-of-band Kommunikationskanal bereitstellt, ist AWS Wickr.

  • Phasen der Vorfallreaktion und zu ergreifende Maßnahmen: Hier sind die Phasen der Vorfallreaktion aufgeführt (beispielsweise Erkennung, Analyse, Beseitigung, Eindämmung und Wiederherstellung) – einschließlich der in diesen Phasen zu ergreifenden allgemeinen Maßnahmen.

  • Definitionen des Schweregrads und der Priorisierung des Vorfalls: Hier wird erläutert, wie der Schweregrad eines Vorfalls klassifiziert wird, wie der Vorfall priorisiert wird und wie sich die Schweregraddefinitionen dann auf die Eskalationsverfahren auswirken.

Diese Abschnitte sind zwar in Unternehmen verschiedener Größen und Branchen üblich, der Vorfallreaktionsplan ist jedoch für jede Organisation individuell. Erstellen Sie einen Vorfallreaktionsplan, der für Ihre Organisation am besten geeignet ist.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente: