Runbooks - Guía de respuestas ante incidentes de seguridad de AWS

Runbooks

Cuando se detecta una anomalía de seguridad, retener el evento y volver a un estado correcto conocido son elementos importantes de un plan de respuesta. Por ejemplo, si la anomalía se debe a una configuración de seguridad incorrecta, la solución puede ser tan simple como eliminar la desviación a través de una reimplementación de los recursos con la configuración adecuada. Para ello, tendrá que planificar con antelación y definir sus propios procedimientos de respuesta de seguridad, que a menudo se denominan runbooks.

Un runbook es la forma documentada de los procedimientos de una organización para realizar una tarea o una serie de tareas. Esta documentación suele almacenarse en un sistema digital interno o en formato impreso. Puede que ya tenga runbooks de respuesta ante incidentes o que deba crearlos para cumplir con un marco de garantía de seguridad. Sin embargo, cuando se siguen de forma manual los runbooks escritos, aumenta la posibilidad de cometer errores. En su lugar, se recomienda automatizar todas las tareas repetibles. Gracias a la automatización, su equipo de respuesta se libera de las tareas habituales y queda disponible para tareas más importantes, como correlacionar eventos, practicar en simulaciones, diseñar nuevos procedimientos de respuesta, realizar investigaciones, desarrollar nuevas competencias y probar o crear nuevas herramientas. Sin embargo, antes de poder descomponer las tareas en lógica programable e iterar hacia una automatización adecuada, debe comenzar por escribir un runbook.

Creación de runbooks

Si quiere crear runbooks para la nube, se recomienda que primero se centre en las alertas que genera actualmente. Si se genera una alerta, es importante investigarla. Comience por definir las descripciones de los procesos manuales que realiza. Después, pruebe los procesos e itere el patrón del runbook para mejorar la lógica básica de la respuesta. Determine cuáles son las excepciones y las resoluciones alternativas para esos escenarios. Por ejemplo, en un entorno de desarrollo, puede que quiera terminar una instancia de Amazon EC2 mal configurada. Sin embargo, si el mismo evento se produce en un entorno de producción, en lugar de terminar la instancia, puede detenerla y verificar con las partes interesadas que no se pierdan datos críticos y si la terminación es aceptable.

Después de determinar cuál es la mejor solución, puede descomponer la lógica en una solución basada en código que el personal de respuesta pueden usar como herramienta para automatizar la respuesta y para eliminar las discrepancias o suposiciones. Esto acelera el ciclo de vida de una respuesta. El objetivo siguiente es hacer que este código esté completamente automatizado cuando las alertas o los eventos lo invoquen, en lugar de que el personal de respuesta lo ejecute.

Introducción

Si no está seguro de por dónde empezar, considere comenzar con las alertas que podrían generar AWS Trusted Advisor, el Estándar de prácticas de seguridad básicas recomendadas de AWS Security Hub y Reglas de AWS Config (incluido el repositorio de GitHub de Reglas de AWS Config). Después, céntrese en los eventos generados por los servicios que describen los sistemas que le interesan.

Amazon GuardDuty y Access Analyzer describen muchos de los dominios que una aplicación usará en AWS, motivo por el que se suelen sugerir; sin embargo, Amazon Inspector y Amazon Macie ofrecen usos específicos para aquellos que están preocupados por los datos y los puntos de acceso. En la Guía del usuario de Amazon GuardDuty tiene disponible información sobre los resultados de Amazon GuardDuty. Los resultados de Access Analyzer están disponibles en la Guía del usuario de Amazon Access Analyzer. Los resultados de Macie están disponibles en la Guía del usuario de Amazon Macie. Los resultados de Amazon Inspector están disponibles en la Guía del usuario de Amazon Inspector. Security Hub ofrece la posibilidad de unificar esos resultados en un solo lugar y reaccionar ante ellos de forma unificada con baja latencia, por lo que se sugiere como ubicación central para la corrección.

Todos los servicios anteriores envían notificaciones a través de Amazon CloudWatch Events cuando se produce cualquier cambio en los resultados o las alertas, incluidas las alertas generadas recientemente y las actualizaciones de las alertas existentes. Puede configurar las reglas de Amazon CloudWatch Events para desencadenar las funciones AWS Lambda para que lleven a cabo una respuesta basada en eventos. Sin embargo, la capacidad de crear información personalizada y de añadir sus propios resultados desde el dominio de la aplicación se suma a las razones de peso para usar Security Hub en su lugar. Para obtener más información, consulte la sección Respuesta basada en eventos.