Automatización de la respuesta ante incidentes - Guía de respuestas ante incidentes de seguridad de AWS

Automatización de la respuesta ante incidentes

Para automatizar las funciones de ingeniería y operaciones de seguridad, puede usar un conjunto completo de API y herramientas de AWS. Puede automatizar por completo las capacidades de administración de identidades, seguridad de la red, protección de datos y supervisión. Al automatizar la seguridad, el sistema puede monitorear, revisar e iniciar una respuesta, en lugar de hacer que el personal monitoree la posición de seguridad y reaccione de forma manual a los eventos.

Si los equipos de respuesta ante incidentes siguen respondiendo a las alertas de la misma manera, corren el riesgo de sufrir fatiga por alertas. Con el tiempo, el equipo puede volverse insensible a las alertas y cometer errores al gestionar situaciones habituales o pasar por alto alertas inusuales. La automatización ayuda a evitar la fatiga respecto a las alertas mediante el uso de funciones que procesan las alertas repetitivas y habituales, lo que deja que las personas gestionen los incidentes delicados y puntuales.

Para mejorar los procesos manuales, automatice mediante programación los pasos del proceso. Después de definir el patrón de resolución de un evento, puede descomponer ese patrón en lógica procesable y escribir el código para ejecutar la lógica. El personal de respuesta puede ejecutar ese código para solucionar el problema. Con el tiempo, puede automatizar cada vez más pasos y, en última instancia, gestionar de forma automática clases enteras de incidentes habituales.

Sin embargo, el objetivo debe ser reducir aún más el intervalo de tiempo entre los mecanismos de detección y los mecanismos de respuesta. Históricamente, este intervalo de tiempo puede ser de horas, días o incluso meses. En una encuesta sobre respuesta ante incidentes realizada por SANS en 2016, el 21 % de los encuestados declaró que su tiempo hasta la detección oscilaba entre dos y siete días y solo el 29 % de los encuestados pudo corregir los eventos dentro del mismo marco temporal. En la nube, puede reducir ese intervalo de tiempo de respuesta a segundos mediante la creación de capacidades de respuesta basadas en eventos.