Dominios de incidentes
La responsabilidad del cliente incluye tres dominios en los que pueden producirse incidentes de seguridad: servicio, infraestructura y aplicación. La diferencia entre estos dominios está relacionada con las herramientas que se usan al responder. Tenga en cuenta estos dominios:
-
Dominio de servicio: los incidentes del dominio de servicio afectan a la cuenta de AWS del cliente, los permisos de IAM, los metadatos de los recursos, la facturación y otras áreas. Un evento del dominio de servicio es aquel al que se responde exclusivamente con los mecanismos de la API de AWS o que tiene causas raíz asociadas a los permisos de configuración o recurso y puede tener registros relacionados orientados al servicio.
-
Dominio de infraestructura: los incidentes del dominio de infraestructura incluyen actividades relacionadas con los datos o la red, como el tráfico a las instancias de Amazon EC2 en la VPC, los procesos y los datos de las instancias de Amazon EC2 y otras áreas, como los contenedores o servicios futuros adicionales. A menudo, la respuesta a los eventos del dominio de infraestructura implica la recuperación, restauración o adquisición de datos relacionados con incidentes para su análisis forense. Puede incluir la interacción con el sistema operativo de una instancia y, en algunos casos, también puede implicar mecanismos de la API de AWS.
-
Dominio de aplicación: los incidentes del dominio de aplicación se producen en el código de la aplicación o en el software implementado en los servicios o la infraestructura. Este dominio debería incluirse en los runbooks de detección y respuesta ante amenazas en la nube y puede incorporar respuestas similares a las del dominio de infraestructura. Con una arquitectura de aplicaciones adecuada y meditada, puede administrar este dominio con herramientas en la nube, mediante procesos de análisis forense, recuperación e implementación automatizados.
En estos dominios, debe tener en cuenta los factores que pueden actuar contra la cuenta, los recursos o los datos. Use un marco de riesgos, interno o externo, para determinar cuáles son los riesgos específicos de la organización y prepararse en consecuencia.
En el dominio de servicio, se trabaja para lograr los objetivos exclusivamente con las API de AWS. Por ejemplo, la gestión de un incidente de divulgación de datos de un bucket de Amazon S3 implica llamadas a la API para recuperar la política del bucket, el análisis de los registros de acceso de S3 y, posiblemente, la consulta de registros de AWS CloudTrail. En este ejemplo, es poco probable que la investigación implique herramientas de análisis forense de datos o herramientas de análisis del tráfico de red.
En el dominio de infraestructura, puede usar una combinación de las API de AWS y software de análisis forense digital y respuesta ante incidentes (DFIR) conocido dentro del sistema operativo de una estación de trabajo, como una instancia de Amazon EC2 que haya preparado para trabajar en la respuesta a incidentes. Los incidentes del dominio de infraestructura pueden implicar el análisis de capturas de paquetes de red, bloques de disco en un volumen de Amazon Elastic Block Store (Amazon EBS) o memoria volátil adquirida de una instancia.