Risposta agli incidenti nel cloud - Guida sulla risposta agli incidenti di sicurezza di AWS
Progettazione degli obiettivi di risposta al cloud

Risposta agli incidenti nel cloud

Progettazione degli obiettivi di risposta al cloud

Sebbene i processi e i meccanismi generali di risposta agli incidenti, come quelli definiti nella NIST SP 800-61 Computer Security Incident Handling Guide rimangano validi, ti consigliamo di considerare i seguenti obiettivi di progettazione specifici pertinenti per rispondere agli incidenti di sicurezza in un ambiente cloud:

  • Definizione degli obiettivi di risposta: collabora con le parti interessate, i consulenti legali e la leadership dell'organizzazione per determinare l'obiettivo di risposta a un incidente. Alcuni obiettivi comuni includono il contenimento e la mitigazione del problema, il ripristino delle risorse interessate, la conservazione dei dati per le analisi forensi e l'attribuzione.

  • Risposte fornite utilizzando il cloud: implementa i tuoi modelli di risposta dove si verificano l'evento e i dati.

  • Individuazione dei dati esistenti e di quelli necessari: conserva registri, snapshot e altre prove copiandoli in un account cloud di sicurezza centralizzato. Utilizza tag, metadati e meccanismi che applicano le policy di conservazione. Ad esempio, puoi scegliere di utilizzare il comando dd di Linux o un equivalente di Windows per creare una copia completa dei dati a scopo investigativo.

  • Utilizzo di meccanismi di ridistribuzione: se un'anomalia di sicurezza può essere attribuita a una configurazione errata, la correzione potrebbe essere semplicemente rimuovere la varianza ridistribuendo le risorse con la configurazione corretta. Quando possibile, rendi i meccanismi di risposta sicuri in modo da eseguirli più di una volta e in stati sconosciuti.

  • Automatizzazione laddove possibile: quando si verificano problemi o incidenti ripetuti, costruisci meccanismi che verifichino e rispondano a situazioni comuni a livello di programmazione. Utilizza le risposte umane per incidenti unici, nuovi e sensibili.

  • Scelta di soluzioni scalabili: cerca di soddisfare la scalabilità dell'approccio dell'organizzazione al cloud computing e riduci le tempistiche tra rilevamento e risposta.

  • Individuazione delle lacune e miglioramento del processo: quando individui lacune nel processo, negli strumenti o nelle persone, implementa piani per correggerle. Le simulazioni sono metodi sicuri per individuare le lacune e migliorare i processi.

Gli obiettivi di progettazione del NIST ricordano di rivedere l'architettura per la capacità di condurre sia la risposta agli incidenti che il rilevamento delle minacce. Mentre pianifichi l'implementazione del cloud, pensa a come rispondere a un incidente o a un evento forense. In alcuni casi, ciò significa che potresti avere più organizzazioni, account e strumenti configurati specificamente per queste attività di risposta. Questi strumenti e funzioni dovrebbero essere resi disponibili all'incident responder dalla pipeline di implementazione e non dovrebbero essere statici, poiché ciò comporterebbe un rischio maggiore.