Designziele für die Reaktion auf Cloud-Vorfälle - Säule „Sicherheit“

Designziele für die Reaktion auf Cloud-Vorfälle

Obwohl die allgemeinen Prozesse und Mechanismen der Reaktion auf Vorfälle, wie sie im NIST SP 800-61: Computer Security Incident Handling Guidedefiniert sind, bestehen bleiben, empfehlen wir Ihnen, diese spezifischen Designziele zu bewerten, die für die Reaktion auf Sicherheitsvorfälle in einer Cloud-Umgebung relevant sind:

  • Festlegen von Reaktionszielen: Legen Sie in Zusammenarbeit mit den Beteiligten, dem Rechtsbeistand und der Unternehmensleitung das Ziel der Reaktion auf einen Vorfall fest. Zu den gemeinsamen Zielen gehören die Eindämmung und Entschärfung des Problems, die Wiederherstellung der beschädigten Ressourcen, die Sicherung der Daten für die Forensik, die Wiederherstellung eines sicheren Betriebs und schließlich das Lernen aus Vorfällen.

  • Reagieren mit der Cloud: Implementieren Sie Reaktionsmuster in der Cloud dort, wo das Ereignis und die Daten auftreten.

  • Vorhandene und benötigte Informationen: Bewahren Sie Protokolle, Ressourcen, Snapshots und andere Beweise auf, indem Sie sie kopieren und in einem zentralen Cloud-Konto für die Vorfallsreaktion speichern. Verwenden Sie Tags, Metadaten und Mechanismen, die Aufbewahrungsrichtlinien erzwingen. Sie müssen wissen, welche Services Sie verwenden, und dann die Anforderungen für die Untersuchung dieser Services ermitteln. Um Ihnen zu helfen, Ihre Umgebung zu verstehen, können Sie auch Tagging verwenden.

  • Verwenden von Wiederbereitstellungsmechanismen: Wenn eine Sicherheitsanomalie auf eine fehlerhafte Konfiguration zurückzuführen ist, kann die Abhilfe so einfach sein wie die Beseitigung der Abweichung durch die Neuverteilung von Ressourcen mit der richtigen Konfiguration. Wenn eine mögliche Gefährdung festgestellt wird, muss sichergestellt werden, dass die erneute Bereitstellung eine erfolgreiche und überprüfte Beseitigung der Ursachen beinhaltet.

  • Automatisieren wo möglich: Wenn Probleme auftreten oder Vorfälle sich wiederholen, erstellen Sie Mechanismen, die programmgesteuert Tests durchführen und auf gängige Ereignisse reagieren. Setzen Sie Mitarbeiter ein, wenn auf einzigartige, komplexe oder sensible Vorfälle reagiert werden muss, bei denen Automatisierungen unzureichend sind.

  • Auswahl skalierbarer Lösungen: Streben Sie an, die Skalierbarkeit des Cloud-Computing-Ansatzes Ihres Unternehmens zu erreichen. Implementieren Sie Erkennungs- und Reaktionsmechanismen, die sich in Ihren Umgebungen skalieren lassen, um die Zeit zwischen Erkennung und Reaktion effektiv zu reduzieren.

  • Analyse und Verbessern des Prozesses: Identifizieren Sie proaktiv Sicherheitslücken bei Ihren Prozessen, Tools oder Mitarbeitern und implementieren Sie einen Plan, um diese zu beheben. Simulationen sind eine sichere Methode, um Lücken aufzudecken und Prozesse zu verbessern.

Diese Entwurfsziele sollen als Erinnerung daran dienen, Ihre Architekturimplementierung daraufhin zu überprüfen, ob sie sowohl zur Reaktion auf Vorfälle als auch zur Bedrohungserkennung in der Lage ist. Denken Sie bei der Planung Ihrer Cloud-Implementierungen daran, wie auf einen Vorfall reagiert werden soll, idealerweise mit einer forensisch fundierten Reaktionsmethodik. In einigen Fällen bedeutet dies, dass Sie möglicherweise mehrere Organisationen, Konten und Tools verwenden, die speziell für diese Reaktionsaufgaben eingerichtet wurden. Diese Tools und Funktionen sollten der für Vorfälle verantwortlichen Person über die Bereitstellungspipeline zur Verfügung gestellt werden. Sie sollten nicht statisch sein, da dies zu einem größeren Risiko führen kann.