SEC10-BP04 Sviluppo e test di playbook di risposta agli incidenti di sicurezza
Una parte fondamentale della preparazione dei processi di risposta agli incidenti è costituita dalla predisposizione di playbook. I playbook di risposta agli incidenti forniscono una serie di indicazioni prescrittive e di passaggi da seguire in caso di evento di sicurezza. Una struttura e passaggi chiari semplificano la risposta e riducono la probabilità di errore umano.
Livello di rischio associato se questa best practice non fosse adottata: medio
Guida all'implementazione
È necessario creare i playbook per scenari di incidenti come:
-
Incidenti previsti: i playbook devono essere creati per gli incidenti previsti, tra cui minacce come Denial of Service (DoS), ransomware e la compromissione delle credenziali.
-
Avvisi o esiti di sicurezza noti: i playbook devono essere creati per gli esiti e gli avvisi di sicurezza noti, ad esempio gli esiti di GuardDuty. Potresti ricevere un esito di GuardDuty e non sapere cosa fare. Per evitare di gestire in modo errato o ignorare un esito di GuardDuty, crea un playbook per ogni potenziale esito di GuardDuty. I dettagli e le indicazioni sulla correzione sono disponibili nella documentazione di GuardDuty. Vale la pena notare che GuardDuty non è abilitato per impostazione predefinita e comporta costi. Per maggiori dettagli su GuardDuty, consulta l'Appendice A: definizioni delle funzionalità cloud - Visibilità e avvisi.
I playbook devono contenere i passaggi tecnici che un analista della sicurezza deve seguire per indagare e rispondere in modo adeguato a un potenziale incidente di sicurezza.
Passaggi dell'implementazione
Gli elementi da includere in un playbook sono:
-
Panoramica del playbook: quale scenario di rischio o incidente affronta questo playbook? Qual è l'obiettivo del playbook?
-
Prerequisiti: quali log, meccanismi di rilevamento e strumenti automatizzati sono necessari per questo scenario di incidente? Qual è la notifica prevista?
-
Informazioni su comunicazione ed escalation: chi è coinvolto e quali sono le sue informazioni di contatto? Quali sono le responsabilità di ciascuna parte interessata?
-
Passaggi di risposta: in tutti i passaggi per la risposta agli incidenti, quali misure tattiche devono essere prese? Quali query deve eseguire l'analista? Quale codice va eseguito per ottenere il risultato desiderato?
-
Individuazione: come verrà individuato l'incidente?
-
Analisi: come verrà determinato l'ambito dell'impatto?
-
Contenimento: come verrà isolato l'incidente per limitarne la portata?
-
Sradicamento: come verrà rimossa la minaccia dall'ambiente?
-
Ripristino: in che modo il sistema o la risorsa interessati verranno riportati in produzione?
-
-
Risultati previsto: dopo l'esecuzione delle query e del codice, qual è il risultato previsto del playbook?
Risorse
Best practice Well-Architected correlate:
Documenti correlati: