Respuesta frente a incidentes en la nube
Objetivos de diseño de la respuesta en la nube
Si bien los procesos y los mecanismos generales de respuesta ante incidentes (como los que se definen en la guía de administración de incidentes de seguridad informática NIST SP 800-61
-
Establezca objetivos de respuesta: trabaje con las partes interesadas, sus asesores jurídicos y la dirección de la organización para determinar el objetivo de respuesta ante un incidente. Entre algunos de los objetivos habituales se incluyen la contención y mitigación del problema, la recuperación de los recursos afectados, la protección de los datos para el análisis forense y la atribución.
-
Responda mediante la nube: implemente sus patrones de respuesta donde ocurre el evento y están los datos.
-
Conozca lo que tiene y lo que necesita: copie los registros, las instantáneas y cualquier otra prueba en una cuenta de seguridad centralizada en la nube para conservarlos. Use etiquetas, metadatos y mecanismos que permitan aplicar las políticas de retención. Por ejemplo, puede optar por usar el comando
dd
de Linux o un equivalente de Windows para realizar una copia completa de los datos con fines de investigación. -
Use mecanismos de reimplementación: si una anomalía de seguridad puede atribuirse a una configuración incorrecta, la corrección puede ser tan simple como eliminar la variación mediante la reimplementación de los recursos con la configuración adecuada. Siempre que sea posible, haga que sus mecanismos de respuesta sean seguros para ejecutarse más de una vez y en estados desconocidos.
-
Automatice siempre que sea posible: si ve que los problemas o incidentes se repiten, cree mecanismos que clasifiquen y respondan mediante programación a situaciones habituales. Use respuestas humanas para incidentes únicos, nuevos y delicados.
-
Elija soluciones escalables: esfuércese por adaptarse a la escalabilidad del enfoque de su organización a la computación en la nube y reduzca el tiempo entre la detección y la respuesta.
-
Aprenda y mejore su proceso: si detecta deficiencias en su proceso, herramientas o personal, planifique solucionarlas. Las simulaciones son métodos seguros para encontrar lagunas y mejorar los procesos.
Los objetivos de diseño de NIST recuerdan que es necesario revisar la arquitectura para poder llevar a cabo tanto la respuesta ante incidentes como la detección de amenazas. Al planificar la implementación en la nube, piense en cómo responder a un incidente o a un evento forense. En algunos casos, esto significa que puede tener varias organizaciones, cuentas y herramientas configuradas específicamente para estas tareas de respuesta. Estas herramientas y funciones deben ponerse a disposición de la respuesta ante incidentes mediante la canalización de la implementación y no deben ser estáticas, ya que esto provocaría un riesgo mayor.