Deteksi sebagai bagian dari rekayasa kontrol keamanan - Respons Insiden Keamanan AWS Panduan Pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Deteksi sebagai bagian dari rekayasa kontrol keamanan

Mekanisme deteksi merupakan bagian integral dari pengembangan kontrol keamanan. Ketika kontrol direktif dan pencegahan ditentukan, kontrol detektif dan responsif terkait harus dibangun. Sebagai contoh, sebuah organisasi menetapkan kontrol direktif yang terkait dengan pengguna root AWS akun, yang seharusnya hanya digunakan untuk aktivitas spesifik dan sangat terdefinisi dengan baik. Mereka mengaitkannya dengan kontrol preventif yang diterapkan dengan menggunakan kebijakan kontrol layanan AWS organisasi (SCP). Jika aktivitas pengguna root di luar baseline yang diharapkan terjadi, kontrol detektif yang diterapkan dengan EventBridge aturan dan topik SNS akan memperingatkan pusat operasi keamanan (SOC). Dalam kontrol responsif, SOC memilih playbook yang sesuai, melakukan analisis, dan bekerja sampai insiden terselesaikan.

Kontrol keamanan paling baik ditentukan oleh pemodelan ancaman beban kerja yang berjalan di AWS. Tingkat kekritisan kontrol detektif akan ditetapkan dengan melihat analisis dampak bisnis (BIA) untuk beban kerja tertentu. Peringatan yang dihasilkan oleh kontrol detektif tidak ditangani saat masuk, melainkan berdasarkan kekritisan awalnya, untuk disesuaikan selama analisis. Set kekritisan awal adalah bantuan untuk menentukan prioritas; konteks terjadinya peringatan akan menentukan kekritisan yang sebenarnya. Sebagai contoh, sebuah organisasi menggunakan Amazon GuardDuty sebagai komponen kontrol detektif yang digunakan untuk EC2 instance yang merupakan bagian dari beban kerja. Temuan Impact:EC2/SuspiciousDomainRequest.Reputation ini dihasilkan, memberi tahu Anda bahwa EC2 instans Amazon yang terdaftar dalam beban kerja Anda menanyakan nama domain yang diduga berbahaya. Peringatan ini ditetapkan secara default sebagai tingkat keparahan rendah, dan ketika fase analisis berlangsung, ditentukan bahwa beberapa ratus EC2 contoh tipe p4d.24xlarge telah digunakan oleh aktor yang tidak sah, secara signifikan meningkatkan biaya operasi organisasi. Pada titik ini, tim respons insiden membuat keputusan untuk menyesuaikan kekritisan peringatan ini menjadi tinggi, meningkatkan rasa urgensi dan mempercepat tindakan lebih lanjut. Perhatikan bahwa tingkat keparahan GuardDuty temuan tidak dapat diubah.