Apéndice C: Ejemplo de runbook
El ejemplo de runbook siguiente representa una sola entrada de un runbook más extenso. Este runbook no es oficial y se proporciona solo como ejemplo. A medida que elabore sus runbooks, cada uno de los escenarios puede evolucionar en elementos más grandes que tienen comienzos e indicadores de riesgo distintos, pero todos con resultados o acciones similares que deben realizarse. Efectuar este cambio también puede dar lugar a otras situaciones que generen respuestas mejores o más minuciosas.
Runbook de respuesta ante incidentes: uso de la cuenta raíz
Objetivo
El objetivo de este runbook es proporcionar orientación específica sobre cómo administrar el uso de la cuenta raíz de AWS. Este runbook no sustituye a una estrategia de respuesta ante incidentes exhaustiva. Se centra en el ciclo de vida de la respuesta ante incidentes:
-
Establecimiento de control
-
Determinación del impacto
-
Recuperación según sea necesario
-
Investigación de la causa raíz
-
Mejora
Los indicadores de riesgo (IOC), los pasos iniciales (detener la «hemorragia») y los comandos detallados de la CLI necesarios para ejecutar esos pasos se enumeran a continuación.
Supuestos
-
CLI configurada e instalada
-
Proceso de generación de informes existente
-
Trusted Advisor activo
-
Security Hub activo
Indicadores de vulnerabilidad
-
Actividad que es anormal para la cuenta.
-
Creación de usuarios de IAM
-
CloudTrail desactivado
-
CloudWatch desactivado
-
SNS en pausa
-
Step Functions en pausa
-
-
Lanzamiento de AMI nuevas o inesperadas
-
Cambios en los contactos de la cuenta
Pasos de corrección: establecimiento de medidas de control
La documentación de AWS para una cuenta posiblemente vulnerable indica las tareas específicas que se enumeran a continuación. La documentación para una cuenta posiblemente vulnerable puede encontrarse en la página sobre qué hacer si se observa una actividad no autorizada en la cuenta de AWS.
-
Póngase en contacto con AWS Support y el administrador técnico de la cuenta (TAM) lo antes posible.
-
Cambie y rote la contraseña raíz y agregue un dispositivo MFA asociado a la cuenta raíz.
-
Rote las contraseñas, las claves de acceso/secretas y los comandos de la CLI relevantes para los pasos de corrección.
-
Revise las acciones que realiza el usuario raíz.
-
Abra los runbooks correspondientes a esas acciones.
-
Cierre el incidente.
-
Revise el incidente e intente comprender lo que ha pasado.
-
Solucione los problemas subyacentes, implemente mejoras y actualice el runbook según sea necesario.
Elementos de acción adicionales: determinación del impacto
Revise los elementos creados y las llamadas modificadas. Puede haber elementos que se hayan creado para permitir el acceso en el futuro. Algunos de los elementos que deben tenerse en cuenta son los siguientes:
-
Roles entre cuentas de IAM
-
Usuarios de IAM
-
Buckets de S3
-
Instancias de EC2
-
[Su aplicación e infraestructura determinarán esta lista].