Ressourcen in der Nähe des Ereignisses starten - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Ressourcen in der Nähe des Ereignisses starten

Für Responder, die neu in der Cloud sind, kann es verlockend sein, Cloud-Untersuchungen an dem Ort durchzuführen, an dem sich Ihre Tools befinden. Unserer Erfahrung zufolge erzielen AWS-Kunden, die mit Cloud-Technologien auf Vorfälle reagieren, bessere Ergebnisse – Isolationen können automatisiert, Kopien leichter erstellt, Beweise früher analysiert und die Analyse kann schneller abgeschlossen werden.

Es empfiehlt sich, Untersuchungen und forensische Analysen in der Cloud durchzuführen, in der sich die Daten befinden, anstatt die Daten vor der Untersuchung an ein Rechenzentrum zu übertragen. Sie können die sicheren Computing- und Speicherfunktionen der Cloud praktisch überall auf der Welt nutzen, um sichere Reaktionsverfahren durchzuführen. Viele Kunden entscheiden sich dafür, vorab ein separates AWS-Konto für eine Untersuchung zu erstellen. In manchen Fällen können Sie Ihre Analyse jedoch auch im selben AWS-Konto durchführen. Wenn Ihr Unternehmen voraussichtlich Aufzeichnungen zu Compliance- und rechtlichen Gründen aufbewahren wird, empfiehlt sich, separate Konten für die Langzeitspeicherung und rechtliche Aktivitäten zu führen.

Es ist ebenso ratsam, die Untersuchung in derselben AWS-Region durchzuführen, in der das Ereignis eingetreten ist, anstatt die Daten in eine andere Region zu replizieren. Wir empfehlen diese Vorgehensweise hauptsächlich aufgrund des Zeitaufwands, der durch die Übertragung der Daten zwischen Regionen entsteht. Vergewissern Sie sich in allen AWS-Regionen, in denen Sie tätig sind, dass sowohl Ihr Reaktionsverfahren als auch die Responder die einschlägigen Datenschutzgesetze einhalten. Wenn Sie Daten zwischen Regionen verschieben müssen, sollten Sie die rechtlichen Auswirkungen der Übertragung von Daten zwischen verschiedenen Gerichtsbarkeiten berücksichtigen. Allgemein hat sich die Speicherung der Daten in der nationalen Gerichtsbarkeit bewährt.

Wenn Sie glauben, dass ein Sicherheitsereignis Ihre Sicherheits-, Identitäts- oder Kommunikationssysteme beeinträchtigt, müssen Sie möglicherweise nach alternativen Mechanismen und Zugangsmethoden suchen, um die Auswirkungen zu untersuchen und zu beheben. Mit AWS können Sie schnell eine neue Infrastruktur einführen, die als eine sichere, alternative Arbeitsumgebung eingesetzt werden kann. Wenn Sie beispielsweise den potenziellen Schweregrad der Situation untersuchen, sollten Sie eventuell ein neues AWS-Konto mit den sicheren Tools erstellen, die Ihr Rechtsberater, die PR-Abteilung und Ihre Sicherheitsteams für die Kommunikation und weitere Arbeit benötigen. Services wie AWS WorkSpaces (für virtuelle Desktops), AWS WorkMail (für E-Mails) und Amazon Chime (zur Kommunikation) können Ihren Notfallteams, Führungskräften und anderen Beteiligten die nötigen Funktionen und die erforderliche Konnektivität bieten, um ein Problem zu kommunizieren, zu untersuchen und zu beheben.