Runbooks - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS
Erstellen von RunbooksErste Schritte

Runbooks

Wenn eine Sicherheitsanomalie erkannt wird, sind die Eindämmung des Ereignisses und die Wiederherstellung eines bewährten Zustands wichtige Elemente eines Reaktionsplans. Wenn die Anomalie beispielsweise aufgrund einer sicherheitsrelevanten Fehlkonfiguration auftrat, kann das Problem einfach durch Entfernen der Abweichung gelöst werden, indem die Ressourcen mit der richtigen Konfiguration erneut bereitgestellt werden. Dazu müssen Sie vorausschauend planen und Ihre eigenen Sicherheitsreaktionsverfahren definieren, die oft als Runbooks bezeichnet werden.

Ein Runbook ist die dokumentierte Version der Verfahren einer Organisation zur Durchführung einer oder mehrerer Aufgaben. Diese Dokumentation wird normalerweise entweder in einem internen digitalen System oder in Papierform gespeichert. Vielleicht verfügen Sie bereits über Runbooks zur Reaktion auf Vorfälle oder Sie müssen diese erst erstellen, um den Ansprüchen eines Sicherheitssystems zu genügen. Wenn Sie geschriebene Runbooks jedoch manuell befolgen, besteht ein höheres Fehlerrisiko. Stattdessen empfehlen wir Ihnen, alle Ihre wiederholbaren Aufgaben zu automatisieren. Die Automatisierung befreit Ihr Notfallteam von allgemeinen Aufgaben, damit es mehr Zeit für wichtige Tätigkeiten hat, z. B. Ereignisse korrelieren, bei Simulationen üben, neue Reaktionsverfahren entwickeln, Forschungsarbeiten durchführen, neue Fähigkeiten erwerben sowie neue Tools testen oder entwickeln. Bevor Sie die Aufgaben jedoch in eine programmierbare Logik zerlegen und zur Automatisierung iterieren können, müssen Sie zunächst ein Runbook schreiben.

Erstellen von Runbooks

Um Runbooks für die Cloud zu erstellen, sollten Sie sich zunächst auf die aktuell ausgegebenen Warnungen konzentrieren. Wenn eine Warnung ausgegeben wird, sollte Sie sie untersuchen. Beschreiben Sie zunächst die manuellen Prozesse, die Sie ausführen. Testen Sie anschließend die Prozesse und wiederholen Sie das „Runbook“-Muster, um die Kernlogik Ihrer Reaktion zu verbessern. Bestimmen Sie die Ausnahmen und welche alternativen Lösungen für diese Szenarien gelten. In einer Entwicklungsumgebung können Sie beispielsweise eine falsch konfigurierte Amazon EC2-Instance beenden. Wenn jedoch dasselbe Ereignis in einer Produktionsumgebung aufgetreten ist, können Sie die Instance, statt sie zu beenden, anhalten und mit den Stakeholdern sicherstellen, dass kritische Daten nicht verloren gehen und die Beendigung akzeptabel ist.

Sobald Sie die beste Lösung gefunden haben, können Sie die Logik in eine codebasierte Lösung zerlegen, die von vielen Respondern als Tool verwendet werden kann. Dadurch können die Reaktion automatisiert und Abweichungen oder Rätselraten bei der Arbeit Ihrer Responder beseitigt werden. Außerdem beschleunigt es die Reaktion auf einen Vorfall. Das nächste Ziel besteht darin, diesen Code vollständig zu automatisieren, damit er von den Warnungen oder Ereignissen anstelle eines Mitarbeiters des Notfallteams aufgerufen wird.

Erste Schritte

Wenn Sie sich nicht sicher sind, womit Sie anfangen müssen, sollten Sie mit den Warnungen beginnen, die von AWS Trusted Advisor generiert werden, den Allgemeinen bewährten Methoden für die Sicherheit des AWS Security Hub und AWS-Config-Regeln (einschließlich des AWS-Config-RegelnGithub-Repositorys). Konzentrieren Sie sich dann auf von Services generierte Ereignisse, die Systeme beschreiben, mit denen Sie sich befassen.

Amazon GuardDuty und Access Analyzer beschreiben viele der Domänen, die eine Anwendung in AWS verwenden, weshalb sie allgemein empfohlen werden. Amazon Inspector und Amazon Macie haben jedoch spezielle Anwendungen für Organisationen, die sich um ihre Daten und Endpunkte sorgen. Informationen zu den Ergebnissen von Amazon GuardDuty finden Sie im Amazon GuardDuty-Benutzerhandbuch. Die Ergebnisse des Access Analyzers finden Sie im Benutzerhandbuch des Amazon Access Analyzer. Die Ergebnisse von Macie finden Sie im Benutzerhandbuch von Amazon Macie. Die Ergebnisse von Amazon Inspector finden Sie im Benutzerhandbuch von Amazon Inspector. Mit dem Security Hub können Sie diese Ergebnisse an einem Ort vereinen und mit geringer Latenz darauf reagieren, weshalb er als zentraler Ort für die Abwehr vorgeschlagen wird.

Alle oben genannten Services senden Benachrichtigungen über Amazon CloudWatch Events, wenn sich die Ergebnisse oder Warnungen ändern, einschließlich neu generierter Warnungen und Aktualisierungen vorhandener Warnungen. Sie können die Regeln von Amazon CloudWatch Events einrichten, um AWS Lambda-Funktionen zur Ausführung einer ereignisgesteuerten Reaktion auszulösen. Die Möglichkeit, benutzerdefinierte Erkenntnisse zu gewinnen und eigene Ergebnisse aus der Anwendungsdomäne hinzuzufügen, spricht jedoch dafür, stattdessen Security Hub zu verwenden. Weitere Informationen finden Sie im Abschnitt Ereignisgesteuerte Reaktion.