Recuperación - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Recuperación

La recuperación es el proceso que consiste en restaurar los sistemas a un estado seguro conocido, comprobar que las copias de seguridad son seguras o no se han visto afectadas por el incidente antes de la restauración, comprobar que los sistemas funcionan correctamente tras la restauración y abordar las vulnerabilidades asociadas a la incidencia de seguridad.

El orden de recuperación depende de los requisitos de la organización. Como parte del proceso de recuperación, debe realizar un análisis del impacto empresarial para determinar, como mínimo:

  • Las prioridades empresariales o de dependencia

  • El plan de restauración

  • Autenticación y autorización

En la guía SP 800-61 Computer Security Incident Handling Guide del NIST se proporcionan varios pasos para recuperar sistemas, como, por ejemplo:

  • La restauración de sistemas a partir de copias de seguridad limpias.

    • Compruebe que las copias de seguridad se evalúan antes de restaurarlas en los sistemas para asegurarse de que la infección no esté presente y evitar que reaparezca el problema de seguridad.

      Las copias de seguridad deben evaluarse periódicamente como parte de las pruebas de recuperación ante desastres para comprobar que el mecanismo de copia de seguridad funciona correctamente y que la integridad de los datos cumple los objetivos del punto de recuperación.

    • Si es posible, utilice copias de seguridad anteriores a la marca de tiempo del primer evento identificada como parte del análisis de la causa raíz.

  • Reconstruir los sistemas desde cero, incluida la redistribución desde un origen de confianza mediante la automatización, en algún momento en una nueva cuenta de AWS.

  • Sustituir los archivos comprometidos por versiones limpias.

    Debe tener mucho cuidado al hacer esto. Debe estar absolutamente seguro de que el archivo que está recuperando sea seguro y no se haya visto afectado por el incidente

  • Instalar parches.

  • Cambiar las contraseñas.

    • Esto incluye las contraseñas de las entidades principales de IAM que podrían haber sido objeto de un uso indebido.

    • Si es posible, recomendamos utilizar roles para las entidades principales de IAM y la federación como parte de una estrategia de privilegios mínimos.

  • Reforzar la seguridad perimetral de la red (conjuntos de reglas del cortafuegos, listas de control de acceso de los enrutadores fronterizos).

Una vez que se hayan recuperado los recursos, es importante capturar las lecciones aprendidas para actualizar las políticas, los procedimientos y las guías de respuesta ante incidentes.

En resumen, es imprescindible implementar un proceso de recuperación que facilite el retorno a las operaciones seguras conocidas. La recuperación puede llevar mucho tiempo y requiere una estrecha relación con las estrategias de contención para equilibrar el impacto empresarial frente al riesgo de reinfección. Los procedimientos de recuperación deben incluir pasos para restaurar los recursos y servicios, las entidades principales de IAM y realizar una revisión de seguridad de la cuenta para evaluar el riesgo residual.