Designziele für die Reaktion auf Cloud-Vorfälle - Säule der Sicherheit

Designziele für die Reaktion auf Cloud-Vorfälle

Obwohl die allgemeinen Prozesse und Mechanismen der Reaktion auf Vorfälle, wie sie in NIST SP 800-61: Computer Security Incident Handling Guide definiert sind, bestehen bleiben, empfehlen wir Ihnen, diese spezifischen Designziele zu bewerten, die für die Reaktion auf Sicherheitsvorfälle in einer Cloud-Umgebung relevant sind:

  • Festlegen von Reaktionszielen: Arbeiten Sie mit Interessenvertretern, dem Rechtsbeistand und der Leitung der Organisation zusammen, um das Ziel der Reaktion auf einen Vorfall zu ermitteln. Zu den gemeinsamen Zielen gehören die Eindämmung und Entschärfung des Problems, die Wiederherstellung der beschädigten Ressourcen, die Sicherung der Daten für die Forensik, die Wiederherstellung eines sicheren Betriebs und schließlich das Lernen aus Vorfällen.

  • Reagieren mit der Cloud: Implementieren Sie Reaktionsmuster in der Cloud dort, wo das Ereignis und die Daten auftreten.

  • Vorhandene und benötigte Informationen: Bewahren Sie Protokolle, Ressourcen, Snapshots und andere Beweise auf, indem Sie sie kopieren und in einem zentralen Cloud-Konto für die Vorfallreaktion speichern. Verwenden Sie Tags, Metadaten und Mechanismen, die Aufbewahrungsrichtlinien erzwingen. Sie müssen wissen, welche Services Sie verwenden, und dann die Anforderungen für die Untersuchung dieser Services ermitteln. Um Ihnen zu helfen, Ihre Umgebung zu verstehen, können Sie auch Tagging verwenden.

  • Verwenden von Wiederbereitstellungsmechanismen: Wenn eine Sicherheitsanomalie auf eine falsche Konfiguration zurückzuführen ist, kann die Behebung so einfach sein wie das Entfernen der Abweichung durch die erneute Bereitstellung der Ressourcen mit der richtigen Konfiguration. Wenn eine mögliche Gefährdung festgestellt wird, muss sichergestellt werden, dass die erneute Bereitstellung eine erfolgreiche und überprüfte Beseitigung der Ursachen beinhaltet.

  • Automatisieren wo möglich: Wenn Probleme auftreten oder Vorfälle sich wiederholen, erstellen Sie Mechanismen, die programmgesteuert Tests durchführen und auf gängige Ereignisse reagieren. Setzen Sie Mitarbeiter ein, wenn auf einzigartige, komplexe oder sensible Vorfälle reagiert werden muss, bei denen Automatisierungen unzureichend sind.

  • Auswahl skalierbarer Lösungen: Streben Sie an, die Skalierbarkeit des Cloud-Computing-Ansatzes Ihrer Organisation zu erreichen. Implementieren Sie Erkennungs- und Reaktionsmechanismen, die sich in Ihren Umgebungen skalieren lassen, um die Zeit zwischen Erkennung und Reaktion effektiv zu reduzieren.

  • Analyse und Verbessern des Prozesses: Identifizieren Sie proaktiv Sicherheitslücken bei Ihren Prozessen, Tools oder Mitarbeitern und implementieren Sie einen Plan, um diese zu beheben. Simulationen sind eine sichere Methode, um Lücken aufzudecken und Prozesse zu verbessern.

Diese Entwurfsziele sollen als Erinnerung daran dienen, Ihre Architekturimplementierung daraufhin zu überprüfen, ob sie sowohl zur Reaktion auf Vorfälle als auch zur Bedrohungserkennung in der Lage ist. Denken Sie bei der Planung Ihrer Cloud-Implementierungen daran, wie auf einen Vorfall reagiert werden soll, idealerweise mit einer forensisch fundierten Reaktionsmethodik. In einigen Fällen bedeutet dies, dass Sie möglicherweise mehrere Organisationen, Konten und Tools verwenden, die speziell für diese Reaktionsaufgaben eingerichtet wurden. Diese Tools und Funktionen sollten der für Vorfälle verantwortlichen Person über die Bereitstellungspipeline zur Verfügung gestellt werden. Sie sollten nicht statisch sein, da dies zu einem größeren Risiko führen kann.