Ereignisgesteuerte Reaktion - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Ereignisgesteuerte Reaktion

Bei einem ereignisgesteuerten Antwortsystem löst ein Mechanismus zur Aufdeckung eine Reaktion aus, um das Ereignis automatisch zu beheben. Sie können ereignisgesteuerte Antwortfunktionen verwenden, um die Wertschöpfung zwischen Aufdeckung und Reaktion zu beschleunigen. Zur Erstellung dieser ereignisgesteuerten Architektur können Sie AWS Lambda verwenden. Dabei handelt es sich um einen serverlosen Computing-Service, der Ihren Code als Reaktion auf Ereignisse ausführt und automatisch die zugrunde liegenden Datenverarbeitungsressourcen für Sie verwaltet.

Angenommen, Sie haben ein AWS-Konto mit aktiviertem AWS CloudTrail-Service. Wenn AWS CloudTrail jemals deaktiviert wird (über die cloudtrail:StopLogging-API), besteht die Reaktion darin, den Service erneut zu aktivieren und zu bestimmen, welcher Benutzer die AWS CloudTrail-Protokollierung deaktiviert hat. Anstatt diese Schritte manuell in AWS Management Console auszuführen, können Sie die Protokollierung programmgesteuert erneut aktivieren (über die cloudtrail:StartLogging-API). Wenn Sie dies mit Code implementieren, muss das Ziel Ihrer Reaktion sein, diese Aufgabe so schnell wie möglich auszuführen und danach die Responder darüber zu informieren.

Sie können die Logik in einfachen Code zerlegen, der in einer AWS Lambda-Funktion zur Durchführung dieser Aufgaben ausgeführt wird. Sie können dann Amazon CloudWatch Events verwenden, um das jeweilige cloudtrail:StopLogging-Ereignis zu überwachen, und bei Bedarf die Funktion aufrufen. Wenn diese AWS Lambda-Responderfunktion von Amazon CloudWatch Events aufgerufen wird, können Sie der Anwendung die Details des jeweiligen Ereignisses mit den Informationen des Prinzipals übermitteln, der AWS CloudTrail deaktiviert hat, wann es deaktiviert wurde, welche Ressource betroffen war sowie andere relevante Informationen. Sie können diese Informationen verwenden, um die Erkenntnisse aus Protokollen zu bereichern und dann eine Benachrichtigung oder Warnung ausschließlich mit den spezifischen Werten zu generieren, die ein Reaktionsanalyst benötigen würde.

Im Idealfall besteht das Ziel der ereignisgesteuerten Reaktion darin, dass die Lambda-Responderfunktion die Reaktionsaufgaben ausführt und dann den Responder mit allen relevanten Hintergrundinformationen darüber informiert, dass die Anomalie erfolgreich behoben wurde. Es obliegt dann dem menschlichen Responder, zu entscheiden, wie die Ursache des Ereignisses festgestellt und Wiederholungen in der Zukunft verhindert werden könnten. Diese Feedback-Schleife ermöglicht weitere Verbesserungen der Sicherheit Ihrer Cloud-Umgebungen. Um dieses Ziel zu erreichen, benötigen Sie eine Kultur, in der Ihr Sicherheitsteam eng mit Ihren Entwicklungs- und Betriebsteams zusammenarbeiten kann.