Detecção como parte da engenharia de controles de segurança - Guia do usuário do AWS Security Incident Response

Detecção como parte da engenharia de controles de segurança

Os mecanismos de detecção constituem uma parte essencial do desenvolvimento de controles de segurança. À medida que controles diretivos e preventivos são definidos, controles detectivos e responsivos correspondentes devem ser elaborados. Para exemplificar, uma organização estabelece um controle diretivo relacionado ao usuário-raiz de uma conta da AWS, o qual deve ser usado somente para atividades específicas e muito bem definidas. Esse controle é associado a um controle preventivo, implementado por meio de uma política de controle de serviços (SCP, na sigla em inglês) da organização da AWS. Se ocorrer uma atividade do usuário-raiz que ultrapassa a linha de base esperada, um controle detectivo, implementado com uma regra do EventBridge e um tópico do SNS, alertará o Security Operations Center (SOC). O controle responsivo envolve o SOC ao selecionar o plano de ação mais apropriado, realizar a análise e trabalhar até que o incidente seja resolvido.

Os controles de segurança são melhor definidos por meio da modelagem de ameaças das workloads executadas na AWS. A criticidade dos controles detectivos será determinada pela análise de impacto nos negócios (BIA, na sigla em inglês) para a workload específica. Os alertas gerados pelos controles detectivos não são tratados à medida que chegam, mas sim com base em sua criticidade inicial, a qual pode ser ajustada durante a análise. A criticidade inicial estabelecida serve como um auxílio para a priorização, no entanto, apenas o contexto em que o alerta ocorreu determinará sua real criticidade. Para exemplificar, uma organização usa o Amazon GuardDuty como um componente do controle detectivo aplicado para as instâncias do EC2 que fazem parte de uma workload. A descoberta Impact:EC2/SuspiciousDomainRequest.Reputation é gerada, informando que a instância do Amazon EC2 listada dentro da sua workload está consultando um nome de domínio suspeito de ser malicioso. Esse alerta é configurado por padrão com severidade baixa e, à medida que a fase de análise avança, foi constatado que várias centenas de instâncias do EC2 do tipo p4d.24xlarge foram implantadas por um agente não autorizado, aumentando significativamente o custo operacional da organização. Nesse momento, a equipe de resposta a incidentes decide ajustar a criticidade desse alerta para alta, aumentando o senso de urgência e agilizando as ações subsequentes. Vale destacar que a severidade da descoberta do GuardDuty não pode ser alterada.