Rimozione - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rimozione

Per eradicazione, in relazione alla risposta agli incidenti di sicurezza, si intende la rimozione di risorse sospette o non autorizzate nel tentativo di riportare l'account a uno stato di sicurezza noto. La strategia di eradicazione dipende da molteplici fattori, che dipendono dai requisiti aziendali dell'organizzazione.

La Guida alla gestione degli incidenti di sicurezza informatica NIST SP 800-61 fornisce diversi passaggi per l'eradicazione:

  1. Identifica e mitiga tutte le vulnerabilità che sono state sfruttate.

  2. Rimuovi malware, materiali inappropriati e altri componenti.

  3. Se vengono scoperti altri host interessati (ad esempio, nuove infezioni da malware), ripeti i passaggi di rilevamento e analisi per identificare tutti gli altri host interessati, quindi contenere ed eliminare l'incidente per loro.

Per quanto riguarda AWS le risorse, questo può essere ulteriormente perfezionato attraverso gli eventi rilevati e analizzati tramite i log disponibili o strumenti automatizzati come CloudWatch Logs e Amazon. GuardDuty Tali eventi dovrebbero costituire la base per determinare quali interventi correttivi devono essere eseguiti per ripristinare correttamente l'ambiente a uno stato di sicurezza noto.

La prima fase dell'eliminazione consiste nel determinare quali risorse all'interno dell'account sono state danneggiate. AWS Ciò si ottiene mediante l'analisi delle fonti di dati di registro disponibili, delle risorse e degli strumenti automatizzati.

  • Identifica le azioni non autorizzate intraprese dalle identità IAM nel tuo account.

  • Identifica accessi o modifiche non autorizzati al tuo account.

  • Identifica la creazione di risorse o utenti IAM non autorizzati.

  • Identifica sistemi o risorse con modifiche non autorizzate.

Una volta identificato l'elenco delle risorse, è necessario valutarle ciascuna per determinare l'impatto aziendale in caso di eliminazione o ripristino della risorsa. Ad esempio, se un server Web ospita la tua applicazione aziendale e la sua eliminazione causerebbe dei tempi di inattività, dovresti prendere in considerazione la possibilità di recuperare la risorsa da backup sicuri verificati o di riavviare il sistema da un'AMI pulita prima di eliminare il server interessato.

Una volta conclusa l'analisi dell'impatto aziendale, utilizzando gli eventi dell'analisi dei log, è necessario accedere agli account ed eseguire le azioni correttive appropriate, ad esempio:

  • Ruota o elimina le chiavi: questo passaggio elimina la possibilità dell'attore di continuare a svolgere attività all'interno dell'account.

  • Ruota le credenziali utente IAM potenzialmente non autorizzate.

  • Elimina risorse non riconosciute o non autorizzate.

    Importante

    Se devi conservare risorse per le tue indagini, valuta la possibilità di effettuare un backup di tali risorse. Ad esempio, se devi conservare un' EC2 istanza Amazon per motivi normativi, di conformità o legali, crea uno snapshot Amazon EBS prima di rimuovere l'istanza.

  • Per le infezioni da malware, potrebbe essere necessario contattare uno AWS Partner o un altro fornitore. AWS non offre strumenti nativi per l'analisi o la rimozione del malware. Tuttavia, se utilizzi il modulo GuardDuty Malware per Amazon EBS, potrebbero essere disponibili consigli per i risultati forniti.

Dopo aver eliminato le risorse interessate identificate, ti AWS consiglia di eseguire una revisione di sicurezza del tuo account. Ciò può essere fatto utilizzando AWS Config regole, utilizzando soluzioni open source come Prowler e/o tramite altri fornitori ScoutSuite. È inoltre consigliabile prendere in considerazione l'esecuzione di scansioni di vulnerabilità sulle risorse pubbliche (Internet) a disposizione per valutare il rischio residuo.

L'eradicazione è una fase del processo di risposta agli incidenti e può essere manuale o automatizzata, a seconda dell'incidente e delle risorse interessate. La strategia generale deve essere in linea con le politiche di sicurezza e le esigenze aziendali dell'organizzazione e verificare che gli effetti negativi siano mitigati dalla rimozione di risorse o configurazioni inappropriate.