Contenere - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Contenere

AWS Security Incident Response collabora con te per contenere gli eventi. Puoi configurare un ruolo di servizio per AWS Security Incident Response eseguire azioni automatiche e manuali nel tuo account in risposta agli avvisi. Puoi anche eseguire il contenimento da solo o in collaborazione con le tue relazioni con terze parti utilizzando i documenti SSM.

Una parte essenziale del contenimento è il processo decisionale, ad esempio se spegnere un sistema, isolare una risorsa dalla rete, disattivare l'accesso o terminare le sessioni. Queste decisioni sono semplificate quando esistono strategie e procedure predeterminate per contenere l'evento. AWS Security Incident Response fornisce la strategia di contenimento, vi informa sul potenziale impatto e vi guida nell'implementazione della soluzione solo dopo aver considerato e accettato i rischi connessi.

AWS Security Incident Response esegue le azioni di contenimento supportate per conto dell'utente per accelerare la risposta e ridurre il tempo a disposizione di un autore della minaccia per causare potenzialmente danni all'ambiente. Questa funzionalità consente una mitigazione più rapida delle minacce identificate, minimizzando il potenziale impatto e migliorando il livello di sicurezza generale. Esistono diverse opzioni di contenimento a seconda delle risorse oggetto di analisi. Le azioni di contenimento supportate sono:

  • EC2 Contenimento: l'automazione del AWSSupport-ContainEC2Instance contenimento esegue un contenimento di rete reversibile di un' EC2 istanza, lasciandola intatta e funzionante, ma isolandola da qualsiasi nuova attività di rete e impedendole di comunicare con le risorse all'interno e all'esterno del VPC.

    Importante

    È importante notare che le connessioni tracciate esistenti non verranno interrotte a seguito della modifica dei gruppi di sicurezza: solo il traffico futuro verrà effettivamente bloccato dal nuovo gruppo di sicurezza e da questo documento SSM. Ulteriori informazioni sono disponibili nella sezione relativa al contenimento dei sorgenti della guida tecnica al servizio.

  • Contenimento IAM: l'automazione del AWSSupport-ContainIAMPrincipal contenimento esegue un contenimento di rete reversibile di un utente o ruolo IAM, lasciando l'utente o il ruolo in IAM, ma isolandolo dalla comunicazione con le risorse all'interno dell'account.

  • Contenimento S3: l'automazione del AWSSupport-ContainS3Resource contenimento esegue un contenimento reversibile di un bucket S3, lasciando gli oggetti nel bucket e isolando il bucket o l'oggetto Amazon S3 modificandone le politiche di accesso.

Importante

AWS Security Incident Response non abilita le funzionalità di contenimento per impostazione predefinita, per eseguire queste azioni di contenimento, devi prima concedere le autorizzazioni necessarie al servizio utilizzando i ruoli. È possibile creare questi ruoli singolarmente per account o per l'intera organizzazione utilizzando gli AWS CloudFormation stackset, che creano i ruoli richiesti.

AWS Security Incident Response vi incoraggia a prendere in considerazione strategie di contenimento per ogni tipo di evento importante che rientrino nella vostra propensione al rischio. Documenta criteri chiari per facilitare il processo decisionale durante un evento. I criteri da considerare includono:

  • Potenziali danni alle risorse

  • Conservazione delle prove e requisiti normativi

  • Indisponibilità del servizio (ad esempio, connettività di rete, servizi forniti a parti esterne)

  • Tempo e risorse necessari per implementare la strategia

  • Efficacia della strategia (ad esempio, contenimento parziale o totale)

  • Permanenza della soluzione (ad esempio, reversibile o irreversibile)

  • Durata della soluzione (ad esempio, soluzione alternativa di emergenza, soluzione temporanea, soluzione permanente) Applica controlli di sicurezza in grado di ridurre il rischio e concedere il tempo necessario per definire e implementare una strategia di contenimento più efficace.

AWS Security Incident Response consiglia un approccio graduale per raggiungere un contenimento efficiente ed efficace, che preveda strategie a breve e lungo termine basate sul tipo di risorsa.

  • Strategia di contenimento

    • È in grado di AWS Security Incident Response identificare l'ambito dell'evento di sicurezza?

      • In caso affermativo, identifica tutte le risorse (utenti, sistemi, risorse).

      • In caso negativo, esaminate parallelamente all'esecuzione del passaggio successivo sulle risorse identificate.

    • La risorsa può essere isolata?

      • Se sì, procedi a isolare le risorse interessate.

      • In caso negativo, collabora con i proprietari e i gestori del sistema per determinare le ulteriori azioni necessarie per contenere il problema.

    • Tutte le risorse interessate sono isolate dalle risorse non interessate?

      • In caso affermativo, procedi con il passaggio successivo.

      • In caso negativo, continuate a isolare le risorse interessate per completare il contenimento a breve termine ed evitare che l'evento si aggravi ulteriormente.

  • Backup del sistema

    • Sono state create copie di backup dei sistemi interessati per ulteriori analisi?

    • Le copie forensi sono crittografate e archiviate in un luogo sicuro?

      • In caso affermativo, procedi con il passaggio successivo.

      • In caso negativo, crittografa le immagini forensi, quindi conservale in un luogo sicuro per evitare utilizzi accidentali, danni e manomissioni.