SEC10-BP04 Mengembangkan dan menguji playbook respons insiden keamanan - Kerangka Kerja AWS Well-Architected
Panduan implementasi Sumber daya

SEC10-BP04 Mengembangkan dan menguji playbook respons insiden keamanan

Bagian penting dari mempersiapkan proses respons insiden Anda adalah mengembangkan playbook. Playbook respons insiden memberikan serangkaian panduan preskriptif dan langkah-langkah yang harus diikuti ketika terjadi peristiwa keamanan. Struktur dan langkah yang jelas akan menyederhanakan respons dan mengurangi kemungkinan kesalahan manusia.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Playbook sebaiknya dibuat untuk skenario insiden seperti:

  • Insiden yang diantisipasi: Playbook harus dibuat untuk insiden yang Anda antisipasi. Hal ini termasuk ancaman seperti denial of service (DoS), ransomware, dan pembobolan kredensial.

  • Temuan atau peringatan keamanan yang diketahui: Playbook harus dibuat untuk temuan dan peringatan keamanan Anda yang diketahui, seperti temuan GuardDuty. Anda mungkin menerima temuan GuardDuty dan berpikir, “Lalu bagaimana?” Untuk mencegah kesalahan penanganan temuan GuardDuty atau pengabaian temuan, buatlah sebuah playbook untuk setiap temuan GuardDuty potensial. Beberapa detail dan panduan remediasi dapat ditemukan dalam dokumentasi GuardDuty. Perlu dicatat bahwa GuardDuty tidak diaktifkan secara default dan penggunaannya dikenakan biaya. Untuk membaca detail selengkapnya tentang GuardDuty, lihat Lampiran A: Definisi kemampuan cloud - Visibilitas dan peringatan.

Playbook harus berisi langkah-langkah teknis yang akan dijalankan oleh analis keamanan untuk menyelidiki dan merespons insiden keamanan potensial secara memadai.

Langkah-langkah implementasi

Item yang akan disertakan dalam playbook meliputi:

  • Gambaran umum playbook: Skenario risiko atau insiden apa yang ditangani oleh playbook ini? Apa tujuan dari playbook ini?

  • Persyaratan: Log, mekanisme deteksi, dan alat otomatis apa yang diperlukan untuk skenario insiden ini? Apa notifikasi yang diharapkan?

  • Informasi komunikasi dan eskalasi: Siapa saja yang terlibat dan apa informasi kontak mereka? Apa saja tanggung jawab setiap pemangku kepentingan?

  • Langkah respons: Di seluruh fase respons insiden, langkah taktis apa yang perlu diambil? Kueri apa yang perlu dijalankan analis? Kode apa yang perlu dijalankan untuk mencapai hasil yang diinginkan?

    • Deteksi: Bagaimana insiden tersebut akan terdeteksi?

    • Analisis: Bagaimana cakupan dampak akan ditentukan?

    • Tahan: Bagaimana insiden akan diisolasi untuk membatasi cakupan?

    • Berantas: Bagaimana ancaman akan dihilangkan dari lingkungan?

    • Pulihkan: Bagaimana sistem atau sumber daya yang terpengaruh akan dibawa kembali ke produksi?

  • Hasil yang diharapkan: Setelah kueri dan kode dijalankan, apa hasil yang diharapkan dari playbook tersebut?

Sumber daya

Praktik terbaik Well-Architected terkait:

Dokumen terkait: