SEC10-BP04 Desarrollar y probar guías estratégicas de respuesta a incidentes de seguridad

Una parte esencial de la preparación de los procesos de respuesta a incidentes es desarrollar unas guías estratégicas. Las guías estratégicas de respuesta a incidentes recogen una serie de directrices y pasos prescriptivos que deben seguirse cuando se produce un evento de seguridad. Contar con una estructura y unos pasos claros simplifica la respuesta y reduce la probabilidad de que se produzcan errores humanos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Medio

Guía para la implementación

Deben crearse guías estratégicas para escenarios de incidentes, por ejemplo:

Incidentes esperados: deben crearse guías estratégicas para los incidentes que anticipe. Esto puede incluir amenazas como la denegación de servicio (DoS), el ransomware y las amenazas de las credenciales.
Alertas o resultados de seguridad conocidos: deben crearse guías estratégicas para las alertas y los resultados de seguridad conocidos, como los resultados de GuardDuty. Podría recibir un resultado de GuardDuty y pensar: «¿Y ahora qué?». Si desea evitar que un resultado de GuardDuty se ignore o no se gestione del modo correcto, cree una guía estratégica para cada posible resultado de GuardDuty. Puede encontrar información e instrucciones sobre los procesos de corrección en la documentación de GuardDuty. Conviene señalar que GuardDuty no está habilitado de forma predeterminada y que tiene un coste. Para obtener más detalles sobre GuardDuty, consulte Apéndice A: Definiciones de capacidades en la nube: visibilidad y alertas.

Las guías estratégicas deben incluir los pasos técnicos que los analistas de seguridad deben completar para investigar y responder adecuadamente a un posible incidente de seguridad.

Pasos para la implementación

Algunos de los elementos que deben incluirse en una guía estratégica son:

Descripción general de la guía estratégica: ¿qué escenario de riesgo o incidente se aborda en este manual de estrategias? ¿Cuál es el objetivo del manual de estrategias?
Requisitos previos: ¿qué registros, mecanismos de detección y herramientas automatizadas se necesitan en el escenario de este incidente? ¿Cuál es la notificación esperada?
Información sobre la comunicación y la remisión a instancias superiores: ¿quién participa y cuál es su información de contacto? ¿Cuáles son las responsabilidades de cada una de las partes interesadas?
Medidas de respuesta: en las diferentes fases de respuesta a un incidente, ¿qué medidas tácticas se deben tomar? ¿Qué consultas deben ejecutar los analistas? ¿Qué código debe ejecutarse para lograr el resultado deseado?
- Detección: ¿cómo se va a detectar el incidente?
- Análisis: ¿cómo se va a determinar el alcance del impacto?
- Contención: ¿cómo se va a aislar el incidente para limitar el alcance?
- Erradicación: ¿cómo se va a eliminar la amenaza del entorno?
- Recuperación: ¿cómo se va a conseguir que el sistema o recurso afectado vuelva a ser productivo?
Resultados esperados: después de ejecutar las consultas y el código, ¿cuál es el resultado esperado de la guía estratégica?

Recursos

Prácticas recomendadas por Well-Architected:

SEC10-BP02 - Desarrolle planes de gestión de incidentes

Documentos relacionados:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC10-BP03: Preparar capacidades forenses

SEC10-BP05: Aprovisionamiento previo del acceso