SEC10-BP02 Mengembangkan rencana manajemen insiden - Pilar Keamanan
Panduan implementasiLangkah-langkah implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC10-BP02 Mengembangkan rencana manajemen insiden

Dokumen pertama yang dikembangkan untuk respons insiden adalah rencana respons insiden. Rencana respons insiden dirancang untuk menjadi dasar bagi program dan strategi respons insiden Anda.

Manfaat menerapkan praktik terbaik ini: Mengembangkan proses respons insiden yang menyeluruh dan jelas adalah kunci untuk program respons insiden yang sukses dan terukur. Ketika sebuah peristiwa keamanan terjadi, langkah dan alur kerja yang jelas dapat membantu Anda merespons secara tepat waktu. Anda mungkin sudah memiliki proses respons insiden sendiri. Terlepas dari keadaan saat ini, penting untuk memperbarui, mengulangi, dan menguji proses respons insiden Anda secara teratur.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Rencana manajemen insiden sangat penting untuk merespons, memitigasi, dan pulih dari potensi dampak yang ditimbulkan insiden keamanan. Rencana manajemen insiden adalah sebuah proses terstruktur untuk mengidentifikasi, memperbaiki, dan merespons insiden keamanan secara tepat waktu.

Cloud memiliki banyak peran dan persyaratan operasional yang sama yang juga ditemukan di lingkungan on-premise. Saat membuat sebuah rencana manajemen insiden, Anda harus mempertimbangkan strategi respons dan pemulihan yang paling selaras dengan hasil bisnis dan persyaratan kepatuhan Anda. Misalnya, jika Anda mengoperasikan beban kerja AWS yang RAMP sesuai dengan Fed di Amerika Serikat, ada baiknya untuk mematuhi Panduan Penanganan Keamanan Komputer NIST SP 800-61. Demikian pula, ketika mengoperasikan beban kerja dengan data informasi (PII) identitas pribadi Eropa, pertimbangkan skenario seperti bagaimana Anda dapat melindungi dan menanggapi masalah yang terkait dengan residensi data sebagaimana diamanatkan oleh Peraturan Perlindungan Data Umum Uni Eropa () Peraturan. GDPR

Saat membuat rencana manajemen insiden untuk beban kerja Anda AWS, mulailah dengan Model Tanggung Jawab AWS Bersama untuk membangun defense-in-depth pendekatan terhadap respons insiden. Dalam model ini, AWS mengelola keamanan cloud, dan Anda bertanggung jawab atas keamanan di cloud. Ini artinya Anda mempertahankan kontrol dan bertanggung jawab atas kontrol keamanan yang ingin Anda implementasikan. Panduan Respons Insiden Keamanan AWS menguraikan konsep utama dan panduan mendasar untuk membangun rencana manajemen insiden yang berorientasi cloud.

Rencana manajemen insiden yang efektif harus diulang-ulang (iterasi) secara berkelanjutan, dan harus tetap mutakhir sesuai tujuan-tujuan operasi cloud Anda. Pertimbangkan untuk menggunakan rencana implementasi yang diuraikan di bawah ini saat Anda membuat dan mengembangkan rencana manajemen insiden Anda.

Langkah-langkah implementasi

Menentukan peran dan tanggung jawab

Menangani peristiwa keamanan membutuhkan disiplin lintas organisasi dan komitmen untuk bertindak. Dalam struktur organisasi Anda, harus ada banyak orang yang bertanggung jawab, akuntabel, dimintai pendapat, atau diinformasikan saat terjadi insiden, seperti perwakilan dari sumber daya manusia (SDM), tim eksekutif, dan hukum. Pertimbangkan peran dan tanggung jawab ini, dan apakah ada pihak ketiga yang harus dilibatkan. Perhatikan bahwa banyak kawasan yang memiliki undang-undang setempat yang mengatur apa yang seharusnya dilakukan dan tidak boleh dilakukan. Meskipun mungkin tampak birokratis untuk membangun bagan yang bertanggung jawab, akuntabel, dikonsultasikan, dan diinformasikan (RACI) untuk rencana respons keamanan Anda, hal itu memfasilitasi komunikasi yang cepat dan langsung dan dengan jelas menguraikan kepemimpinan di berbagai tahap acara.

Selama insiden, termasuk pemilik dan pengembang aplikasi dan sumber daya yang terkena dampak adalah kunci karena mereka adalah ahli materi pelajaran (SMEs) yang dapat memberikan informasi dan konteks untuk membantu dalam mengukur dampak. Pastikan untuk mempraktikkan dan membangun hubungan dengan developer serta pemilik aplikasi sebelum Anda mengandalkan keahlian mereka untuk respons insiden. Pemilik aplikasi atauSMEs, seperti administrator atau insinyur cloud Anda, mungkin perlu bertindak dalam situasi di mana lingkungan tidak dikenal atau memiliki kompleksitas, atau di mana responden tidak memiliki akses.

Terakhir, partner tepercaya mungkin terlibat dalam penyelidikan atau respons karena mereka dapat memberikan keahlian tambahan dan pengawasan yang berharga. Ketika tidak ada orang yang memiliki keterampilan ini dalam tim Anda sendiri, ada baiknya Anda menyewa pihak eksternal untuk bantuan.

Memahami tim AWS respons dan dukungan

  • AWS Support

    • AWS Supportmenawarkan berbagai rencana yang menyediakan akses ke alat dan keahlian yang mendukung keberhasilan dan kesehatan operasional AWS solusi Anda. Jika Anda memerlukan dukungan teknis dan lebih banyak sumber daya untuk membantu merencanakan, menerapkan, dan mengoptimalkan AWS lingkungan Anda, Anda dapat memilih paket dukungan yang paling sesuai dengan kasus AWS penggunaan Anda.

    • Pertimbangkan Support Center in AWS Management Console (diperlukan login) sebagai titik kontak utama untuk mendapatkan dukungan untuk masalah yang memengaruhi AWS sumber daya Anda. Akses ke AWS Support dikendalikan oleh AWS Identity and Access Management. Untuk informasi selengkapnya tentang mendapatkan akses ke AWS Support fitur, lihat Memulai AWS Support.

  • AWS Tim Respons Insiden Pelanggan (CIRT)

    • AWS Customer Incident Response Team (CIRT) adalah AWS tim global khusus 24/7 yang memberikan dukungan kepada pelanggan selama acara keamanan aktif di sisi pelanggan Model Tanggung Jawab AWS Bersama.

    • Ketika AWS CIRT mendukung Anda, mereka memberikan bantuan dengan triase dan pemulihan untuk acara keamanan aktif. AWS Mereka dapat membantu dalam analisis akar penyebab melalui penggunaan log AWS layanan dan memberi Anda rekomendasi untuk pemulihan. Mereka juga dapat memberikan rekomendasi dan praktik terbaik keamanan untuk membantu Anda menghindari peristiwa keamanan di masa depan.

    • AWS pelanggan dapat terlibat AWS CIRT melalui AWS Support kasus.

  • DDoSdukungan respon

    • AWS penawaran AWS Shield, yang menyediakan layanan perlindungan penolakan layanan (DDoS) terdistribusi terkelola yang melindungi aplikasi web yang berjalan. AWS Shield menyediakan deteksi selalu aktif dan mitigasi inline otomatis yang dapat meminimalkan waktu henti dan latensi aplikasi, sehingga tidak perlu terlibat untuk mendapatkan manfaat dari perlindungan. AWS Support DDoS Ada dua tingkatan Shield: AWS Shield Standard dan AWS Shield Advanced. Untuk mengetahui perbedaan antara kedua tingkatan ini, silakan lihat Dokumentasi fitur Shield.

  • AWS Managed Services (AMS)

    • AWS Managed Services (AMS) menyediakan manajemen berkelanjutan AWS infrastruktur Anda sehingga Anda dapat fokus pada aplikasi Anda. Dengan menerapkan praktik terbaik untuk memelihara infrastruktur Anda, AMS membantu mengurangi overhead dan risiko operasional Anda. AMSmengotomatiskan aktivitas umum seperti permintaan perubahan, pemantauan, manajemen patch, keamanan, dan layanan pencadangan, dan menyediakan layanan siklus hidup penuh untuk menyediakan, menjalankan, dan mendukung infrastruktur Anda.

    • AMSbertanggung jawab untuk menyebarkan serangkaian kontrol detektif keamanan dan memberikan respons 24/7 pertama terhadap peringatan. Saat peringatan dimulai, AMS ikuti satu set standar buku pedoman otomatis dan manual untuk memverifikasi respons yang konsisten. Buku pedoman ini dibagikan dengan AMS pelanggan selama orientasi sehingga mereka dapat mengembangkan dan mengoordinasikan respons dengannya. AMS

Kembangkan rencana respons insiden

Rencana respons insiden dirancang untuk menjadi dasar bagi program dan strategi respons insiden Anda. Rencana respons insiden harus dalam bentuk dokumen resmi. Rencana respons insiden biasanya menyertakan bagian-bagian ini:

  • ikhtisar tim respons insiden: Menguraikan tujuan dan fungsi tim respons insiden.

  • Peran dan tanggung jawab: Membuat daftar pemangku kepentingan respons insiden dan menjabarkan peran mereka ketika insiden terjadi.

  • Rencana komunikasi: Detail informasi kontak dan bagaimana mekanisme komunikasi selama insiden.

  • Metode komunikasi Backup: Ini adalah praktik terbaik untuk memiliki out-of-band komunikasi sebagai cadangan untuk komunikasi insiden. Contoh aplikasi yang menyediakan saluran out-of-band komunikasi yang aman adalah AWS Wickr.

  • Fase respons insiden dan tindakan yang perlu diambil: Mengenumerasi fase respons insiden, (misalnya, mendeteksi, menganalisis, memberantas, menahan, dan memulihkan), termasuk tindakan tingkat tinggi yang harus diambil dalam fase-fase tersebut.

  • Definisi keparahan insiden dan prioritas: Memerinci cara mengklasifikasikan tingkat keparahan suatu insiden, bagaimana memprioritaskan insiden, lalu bagaimana definisi keparahan mempengaruhi prosedur eskalasi.

Meskipun bagian-bagian ini umumnya ada di perusahaan dalam berbagai ukuran dan industri yang berbeda, rencana respons insiden akan berbeda-beda di setiap organisasi. Anda perlu membangun rencana respons insiden yang paling cocok untuk organisasi Anda.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait: