Apéndice C: Ejemplo de runbook - Guía de respuestas ante incidentes de seguridad de AWS

Apéndice C: Ejemplo de runbook

El ejemplo de runbook siguiente representa una sola entrada de un runbook más extenso. Este runbook no es oficial y se proporciona solo como ejemplo. A medida que elabore sus runbooks, cada uno de los escenarios puede evolucionar en elementos más grandes que tienen comienzos e indicadores de riesgo distintos, pero todos con resultados o acciones similares que deben realizarse. Efectuar este cambio también puede dar lugar a otras situaciones que generen respuestas mejores o más minuciosas.

Runbook de respuesta ante incidentes: uso de la cuenta raíz

Objetivo

El objetivo de este runbook es proporcionar orientación específica sobre cómo administrar el uso de la cuenta raíz de AWS. Este runbook no sustituye a una estrategia de respuesta ante incidentes exhaustiva. Se centra en el ciclo de vida de la respuesta ante incidentes:

  • Establecimiento de control

  • Determinación del impacto

  • Recuperación según sea necesario

  • Investigación de la causa raíz

  • Mejora

Los indicadores de riesgo (IOC), los pasos iniciales (detener la «hemorragia») y los comandos detallados de la CLI necesarios para ejecutar esos pasos se enumeran a continuación.

Supuestos

  • CLI configurada e instalada

  • Proceso de generación de informes existente

  • Trusted Advisor activo

  • Security Hub activo

Indicadores de vulnerabilidad

  • Actividad que es anormal para la cuenta.

    • Creación de usuarios de IAM

    • CloudTrail desactivado

    • CloudWatch desactivado

    • SNS en pausa

    • Step Functions en pausa

  • Lanzamiento de AMI nuevas o inesperadas

  • Cambios en los contactos de la cuenta

Pasos de corrección: establecimiento de medidas de control

La documentación de AWS para una cuenta posiblemente vulnerable indica las tareas específicas que se enumeran a continuación. La documentación para una cuenta posiblemente vulnerable puede encontrarse en la página sobre qué hacer si se observa una actividad no autorizada en la cuenta de AWS.

  1. Póngase en contacto con AWS Support y el administrador técnico de la cuenta (TAM) lo antes posible.

  2. Cambie y rote la contraseña raíz y agregue un dispositivo MFA asociado a la cuenta raíz.

  3. Rote las contraseñas, las claves de acceso/secretas y los comandos de la CLI relevantes para los pasos de corrección.

  4. Revise las acciones que realiza el usuario raíz.

  5. Abra los runbooks correspondientes a esas acciones.

  6. Cierre el incidente.

  7. Revise el incidente e intente comprender lo que ha pasado.

  8. Solucione los problemas subyacentes, implemente mejoras y actualice el runbook según sea necesario.

Elementos de acción adicionales: determinación del impacto

Revise los elementos creados y las llamadas modificadas. Puede haber elementos que se hayan creado para permitir el acceso en el futuro. Algunos de los elementos que deben tenerse en cuenta son los siguientes:

  • Roles entre cuentas de IAM

  • Usuarios de IAM

  • Buckets de S3

  • Instancias de EC2

  • [Su aplicación e infraestructura determinarán esta lista].