Recuperação - Guia do usuário do AWS Security Incident Response

Recuperação

A recuperação é o processo de restaurar sistemas a um estado seguro conhecido, validar que os backups estão seguros ou não foram afetados pelo incidente antes da restauração, realizar testes para verificar se os sistemas estão funcionando corretamente após a restauração e abordar as vulnerabilidades associadas ao evento de segurança.

A ordem de recuperação depende dos requisitos da sua organização. Como parte do processo de recuperação, você deve realizar uma análise de impacto nos negócios para determinar, no mínimo:

  • Prioridades de negócios ou de dependências

  • Plano de restauração

  • Autenticação e autorização

O guia NIST SP 800-61 Computer Security Incident Handling Guide estabelece diversas etapas para a recuperação de sistemas, incluindo:

  • Restauração de sistemas usando backups íntegros.

    • Verifique se os backups são avaliados antes da restauração para os sistemas, a fim de garantir que a infecção não esteja presente e evitar um ressurgimento do evento de segurança.

      Os backups devem ser avaliados regularmente como parte dos testes de recuperação de desastres, para verificar se o mecanismo de backup está funcionando corretamente e se a integridade dos dados atende aos objetivos de ponto de recuperação.

    • Se possível, use backups anteriores ao primeiro carimbo de data e horário do evento identificado como parte da análise da causa-raiz.

  • Reconstrução de sistemas do zero, o que inclui a reimplantações a partir de uma fonte confiável usando automação, às vezes em uma nova conta da AWS.

  • Substituição de arquivos comprometidos por versões íntegras.

    Você deve ter extremo cuidado ao executar essa ação. É necessário ter certeza absoluta de que o arquivo que está recuperando é reconhecidamente seguro e não foi afetado pelo incidente.

  • Instalação de patches.

  • Alteração de senhas.

    • Isso inclui senhas para entidades principais do IAM que podem ter sido usadas indevidamente.

    • Se possível, recomendamos usar perfis para entidades principais do IAM e para federação como parte de uma estratégia de privilégio mínimo.

  • Reforço da segurança do perímetro da rede (por exemplo, com conjuntos de regras de firewall e listas de controle de acesso de roteadores de borda).

Depois que os recursos forem recuperados, é importante registrar as lições aprendidas para atualizar as políticas, os procedimentos e os guias de resposta a incidentes.

Em resumo, é imprescindível implementar um processo de recuperação que facilite o retorno às operações seguras conhecidas. A recuperação pode demorar um longo tempo e requerer uma ligação estreita com as estratégias de contenção para equilibrar o impacto nos negócios com o risco de reinfecção. Os procedimentos de recuperação devem incluir etapas para a restauração de recursos, serviços e entidades principais do IAM, e a realização de uma análise de segurança da conta para avaliar o risco residual.