Reaktion auf einen Vorfall in der Cloud - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS
Designziele für die Reaktion in der Cloud

Reaktion auf einen Vorfall in der Cloud

Designziele für die Reaktion in der Cloud

Obwohl die allgemeinen Prozesse und Mechanismen zur Reaktion auf Vorfälle, wie sie im NIST SP 800 61 Computer Security Incident Handling Guide definiert sind, bestehen bleiben, empfehlen wir Ihnen, diese spezifischen Designziele zu bewerten, die für die Reaktion auf Sicherheitsvorfälle in einer Cloud-Umgebung relevant sind:

  • Festlegen von Reaktionszielen: Arbeiten Sie mit Ihren Interessensvertretern, dem Rechtsbeistand und der Leitung der Organisation zusammen, um das Ziel der Reaktion auf einen Vorfall zu ermitteln. Einige gängige Ziele umfassen die Eindämmung und Behebung des Problems, die Wiederherstellung der betroffenen Ressourcen, die Aufbewahrung von Daten für die Forensik und die Zuordnung.

  • Reagieren mit der Cloud: Implementieren Sie Ihre Handlungsempfehlung dort, wo das Ereignis und die Daten auftreten.

  • Vorhandene und benötigte Informationen: Speichern Sie Protokolle, Snapshots und andere Beweise, indem Sie diese in ein zentralisiertes Sicherheits-Cloud-Konto kopieren. Verwenden Sie Tags, Metadaten und Mechanismen, die Aufbewahrungsrichtlinien erzwingen. Sie können beispielsweise den Linux-Befehl dd oder ein Windows-Äquivalent verwenden, um eine vollständige Kopie der Daten zu Untersuchungszwecken zu erstellen.

  • Verwenden von Wiederbereitstellungsmechanismen: Wenn eine Sicherheitsanomalie auf eine falsche Konfiguration zurückzuführen ist, kann die Behebung so einfach sein wie das Entfernen der Abweichung durch die erneute Bereitstellung der Ressourcen mit der richtigen Konfiguration. Wenn möglich, sichern Sie Ihre Reaktionsmechanismen, damit sie mehr als einmal und mit einem unbekannten Status ausgeführt werden können.

  • Automatisieren wo möglich: Wenn Sie feststellen, dass sich Probleme oder Vorfälle wiederholen, erstellen Sie Mechanismen, die programmgesteuert Tests durchführen und auf gängige Situationen reagieren. Reagieren Sie auf einzigartige, neue und sensible Vorfälle manuell.

  • Auswahl skalierbarer Lösungen: Streben Sie nach der Skalierbarkeit des Cloud-Computing-Ansatzes Ihres Unternehmens und reduzieren Sie die Zeit zwischen Erkennung und Reaktion.

  • Analysieren und Verbessern Ihres Prozesses: Wenn Sie Lücken in Ihrem Prozess, bei Ihren Tools oder Mitarbeitern identifizieren, planen Sie deren Behebung. Simulationen sind sichere Methoden, um Lücken aufzuspüren und Prozesse zu verbessern.

Die NIST-Designziele erinnern Sie daran, die Architektur auf ihre Fähigkeit zu überprüfen, sowohl auf Vorfälle zu reagieren als auch Bedrohungen zu erkennen. Berücksichtigen Sie bei der Planung Ihrer Cloud-Implementierung eine mögliche Reaktion auf einen Vorfall oder ein forensisches Ereignis. In einigen Fällen bedeutet dies, dass Sie speziell für diese Reaktionsaufgaben möglicherweise mehrere Organisationen, Konten und Tools einrichten. Diese Tools und Funktionen müssen dem Incident Responder über die Bereitstellungspipeline zur Verfügung gestellt werden und sie dürfen nicht statisch sein, da dies ein größeres Risiko darstellen würde.