O que deve ser incluso nos planos de ação - Guia do usuário do AWS Security Incident Response

O que deve ser incluso nos planos de ação

Os playbooks devem conter etapas técnicas a serem concluídas por um analista de segurança para investigar e responder adequadamente a um possível incidente de segurança.

Os itens a serem incluídos em um playbook incluem:

  • Visão geral do plano de ação: quais cenários de riscos ou de incidentes este plano de ação aborda? Qual é o objetivo do playbook?

  • Requisitos prévios: quais logs e mecanismos de detecção são necessários para este cenário de incidente? Qual é a notificação esperada?

  • Informações das partes interessadas: quem são as pessoas envolvidas e quais são suas informações de contato? Quais são as responsabilidades de cada parte interessada?

  • Etapas de resposta: ao longo das fases da resposta a incidentes, quais etapas táticas devem ser adotadas? Que consultas um analista deve executar? Que código deve ser executado para alcançar o resultado desejado?

    • Detecção: qual será o método de detecção do incidente?

    • Análise: qual será o método de determinação do escopo do impacto?

    • Contenção: qual será o método de isolamento do incidente para limitar o escopo?

    • Erradicação: qual será o método de remoção da ameaça do ambiente?

    • Recuperação: qual será o método de reintegração do sistema ou do serviço afetado para o ambiente de produção?

  • Resultados esperados: quais são os resultados esperados após a execução das consultas e do código definido neste plano de ação?

Com a finalidade de verificar a consistência das informações em cada plano de ação, pode ser útil criar um modelo de plano de ação a ser usado nos demais planos de ação de segurança. Alguns dos itens mencionados anteriormente, por exemplo, as informações das partes interessadas, podem ser comuns a vários planos de ação. Se esse for o caso, é possível criar uma documentação centralizada para essas informações e apenas referenciá-la no plano de ação, enumerando as diferenças específicas diretamente no próprio plano de ação. Dessa forma, você evita a necessidade de atualizar repetidamente as mesmas informações em cada plano de ação de forma individual. Ao criar um modelo e ao identificar informações comuns ou compartilhadas entre os planos de ação, é possível simplificar e agilizar o desenvolvimento dos planos de ação. Por fim, considerando que os planos de ação tendem a evoluir ao longo do tempo, a padronização das etapas permite definir os requisitos necessários para sua automação.