SEC10-BP04 Sviluppo e test di playbook di risposta agli incidenti di sicurezza

Una parte fondamentale della preparazione dei processi di risposta agli incidenti è costituita dalla predisposizione di playbook. I playbook di risposta agli incidenti forniscono una serie di indicazioni prescrittive e di passaggi da seguire in caso di evento di sicurezza. Una struttura e passaggi chiari semplificano la risposta e riducono la probabilità di errore umano.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

È necessario creare i playbook per scenari di incidenti come:

Incidenti previsti: i playbook devono essere creati per gli incidenti previsti, tra cui minacce come Denial of Service (DoS), ransomware e la compromissione delle credenziali.
Avvisi o esiti di sicurezza noti: i playbook devono essere creati per gli esiti e gli avvisi di sicurezza noti, ad esempio gli esiti di GuardDuty. Potresti ricevere un esito di GuardDuty e non sapere cosa fare. Per evitare di gestire in modo errato o ignorare un esito di GuardDuty, crea un playbook per ogni potenziale esito di GuardDuty. I dettagli e le indicazioni sulla correzione sono disponibili nella documentazione di GuardDuty. Vale la pena notare che GuardDuty non è abilitato per impostazione predefinita e comporta costi. Per maggiori dettagli su GuardDuty, consulta l'Appendice A: definizioni delle funzionalità cloud - Visibilità e avvisi.

I playbook devono contenere i passaggi tecnici che un analista della sicurezza deve seguire per indagare e rispondere in modo adeguato a un potenziale incidente di sicurezza.

Passaggi dell'implementazione

Gli elementi da includere in un playbook sono:

Panoramica del playbook: quale scenario di rischio o incidente affronta questo playbook? Qual è l'obiettivo del playbook?
Prerequisiti: quali log, meccanismi di rilevamento e strumenti automatizzati sono necessari per questo scenario di incidente? Qual è la notifica prevista?
Informazioni su comunicazione ed escalation: chi è coinvolto e quali sono le sue informazioni di contatto? Quali sono le responsabilità di ciascuna parte interessata?
Passaggi di risposta: in tutti i passaggi per la risposta agli incidenti, quali misure tattiche devono essere prese? Quali query deve eseguire l'analista? Quale codice va eseguito per ottenere il risultato desiderato?
- Individuazione: come verrà individuato l'incidente?
- Analisi: come verrà determinato l'ambito dell'impatto?
- Contenimento: come verrà isolato l'incidente per limitarne la portata?
- Sradicamento: come verrà rimossa la minaccia dall'ambiente?
- Ripristino: in che modo il sistema o la risorsa interessati verranno riportati in produzione?
Risultati previsto: dopo l'esecuzione delle query e del codice, qual è il risultato previsto del playbook?

Risorse

Best practice Well-Architected correlate:

SEC10-BP02 Sviluppo di piani di gestione degli incidenti

Documenti correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC10-BP03 Preparazione di funzionalità forensi

SEC10-BP05 Preassegnazione dell'accesso