Ripristino - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ripristino

Il ripristino è il processo che prevede il ripristino dei sistemi a uno stato sicuro noto, la verifica della sicurezza dei backup o l'assenza dell'impatto dell'incidente prima del ripristino, la verifica del corretto funzionamento dei sistemi dopo il ripristino e la risoluzione delle vulnerabilità associate all'evento di sicurezza.

L'ordine di ripristino dipende dai requisiti dell'organizzazione. Come parte del processo di ripristino, è necessario eseguire un'analisi dell'impatto aziendale per determinare almeno:

  • Priorità aziendali o di dipendenza

  • Il piano di restauro

  • Autenticazione e autorizzazione

La Guida alla gestione degli incidenti di sicurezza informatica NIST SP 800-61 fornisce diversi passaggi per ripristinare i sistemi, tra cui:

  • Ripristino dei sistemi da backup puliti.

    • Verificate che i backup vengano valutati prima del ripristino sui sistemi per assicurarvi che l'infezione non sia presente e per prevenire il ripetersi dell'evento di sicurezza.

      I backup devono essere valutati regolarmente nell'ambito dei test di disaster recovery per verificare che il meccanismo di backup funzioni correttamente e che l'integrità dei dati soddisfi gli obiettivi dei punti di ripristino.

    • Se possibile, utilizzate i backup precedenti al timestamp del primo evento identificato come parte dell'analisi della causa principale.

  • Ricostruzione dei sistemi da zero, inclusa la ridistribuzione da fonti attendibili utilizzando l'automazione, a volte in un nuovo account. AWS

  • Sostituzione di file compromessi con versioni pulite.

    È necessario prestare molta attenzione quando si esegue questa operazione. È necessario essere assolutamente certi che il file che si sta recuperando sia noto, sicuro e inalterato dall'incidente.

  • Installazione delle patch.

  • Modifica delle password.

    • Ciò include le password per i presidi IAM che potrebbero essere state utilizzate in modo improprio.

    • Se possibile, consigliamo di utilizzare i ruoli per i principali e la federazione IAM come parte di una strategia con privilegi minimi.

  • Rafforzamento della sicurezza perimetrale della rete (set di regole del firewall, elenchi di controllo degli accessi ai router boundary).

Una volta recuperate le risorse, è importante raccogliere le lezioni apprese per aggiornare le politiche, le procedure e le guide di risposta agli incidenti.

In sintesi, è fondamentale implementare un processo di ripristino che faciliti il ritorno a operazioni sicure note. Il ripristino può richiedere molto tempo e richiede uno stretto collegamento con le strategie di contenimento per bilanciare l'impatto aziendale con il rischio di reinfezione. Le procedure di ripristino devono includere passaggi per il ripristino di risorse e servizi, i principi IAM e l'esecuzione di una revisione della sicurezza dell'account per valutare il rischio residuo.