SEC10-BP04 Sviluppo e test di playbook di risposta agli incidenti di sicurezza
Una parte fondamentale della preparazione dei processi di risposta agli incidenti è costituita dallo sviluppo di playbook. I playbook di risposta agli incidenti forniscono una serie di indicazioni prescrittive e di passaggi da seguire quando si verifica un evento di sicurezza. Avere una struttura e passaggi chiari semplifica la risposta e riduce la probabilità di errore umano.
Livello di rischio associato se questa best practice non fosse adottata: medio
Guida all'implementazione
È necessario creare i playbook per scenari di incidenti come:
-
Incidenti previsti: i playbook devono essere creati per gli incidenti previsti. tra cui minacce come il Denial of Service (DoS), il ransomware e la compromissione delle credenziali.
-
Avvisi o esiti di sicurezza noti: i playbook devono essere creati per gli esiti e gli avvisi di sicurezza noti, ad esempio gli esiti GuardDuty. Potresti ricevere un risultato di GuardDuty e non sapere cosa fare. Per evitare di mal gestire o ignorare un risultato di GuardDuty, crea un playbook per ogni potenziale risultato di GuardDuty. I dettagli e le indicazioni sulla correzione sono disponibili nella documentazione di GuardDuty. Vale la pena notare che GuardDuty non è abilitato per impostazione predefinita e comporta costi. Per maggiori dettagli su GuardDuty, consulta Appendice A: Definizioni delle capacità del cloud - Visibilità e avvisi.
I playbook devono contenere i passaggi tecnici che un analista deve completare per indagare e rispondere adeguatamente a un potenziale incidente di sicurezza.
Passaggi dell'implementazione
Gli elementi da includere in un playbook sono:
-
Panoramica del playbook: quale scenario di rischio o incidente affronta questo playbook? Qual è l'obiettivo del playbook?
-
Prerequisiti: quali log, meccanismi di rilevamento e strumenti automatizzati sono necessari per questo scenario di incidente? Qual è la notifica prevista?
-
Informazioni sulla comunicazione e sull'escalation: chi è coinvolto e quali sono le loro informazioni di contatto? Quali sono le responsabilità di ogni stakeholder?
-
Fasi di risposta: in tutti i passaggi per la risposta agli incidenti, quali misure tattiche devono essere prese? Quali query deve eseguire l'analista? Quale codice deve essere eseguito per ottenere il risultato desiderato?
-
Individuazione: come verrà rilevato l'incidente?
-
Analisi: come verrà determinato l'ambito dell'impatto?
-
Contenimento: come verrà isolato l'incidente per limitarne la portata?
-
Sradicamento: come verrà rimossa la minaccia dall'ambiente?
-
Recupero: in che modo il sistema o la risorsa interessati verranno riportati in produzione?
-
-
Risultati attesi: dopo l'esecuzione delle query e del codice, qual è il risultato previsto del playbook?
Risorse
Best practice Well-Architected correlate:
Documenti correlati: