SEC10-BP04 Desenvolva e teste manuais de resposta a incidentes de segurança

Uma parte fundamental da preparação de seus processos de resposta a incidentes é desenvolver manuais. Os manuais de resposta a incidentes fornecem uma série de orientações prescritivas e etapas a serem seguidas quando ocorre um evento de segurança. Ter uma estrutura e etapas claras simplifica a resposta e reduz a probabilidade de erro humano.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Os manuais devem ser criados para cenários de incidentes, como:

• Incidentes esperados: os manuais devem ser criados para os incidentes previstos. Isso inclui ameaças como negação de serviço (DoS), ransomware e comprometimento de credenciais.

• Descobertas ou alertas de segurança conhecidos: os manuais devem ser criados para descobertas e alertas de segurança conhecidos, como descobertas do GuardDuty. Você pode receber uma descoberta do GuardDuty e pensar: “E agora?” Para evitar que você trate incorretamente ou ignore uma descoberta do GuardDuty, crie um manual para cada possível descoberta do GuardDuty. Alguns detalhes e orientações sobre a correção podem ser encontrados na documentação do GuardDuty. É importante notar que o GuardDuty não está habilitado por padrão e tem um custo. Para obter mais detalhes sobre o GuardDuty, consulte Appendix A: Cloud capability definitions - Visibility and alerting.

Os manuais devem conter etapas técnicas a serem concluídas por um analista de segurança para investigar e responder adequadamente a um possível incidente de segurança.

Etapas da implementação

Os itens a serem incluídos em um manual incluem:

• Visão geral do manual: qual cenário de risco ou incidente esse manual aborda? Qual é o objetivo do manual?

• Pré-requisitos: quais logs, mecanismos de detecção e ferramentas automatizadas são necessários para esse cenário de incidente? Qual é a notificação esperada?

• Informações de comunicação e escalonamento: quem está envolvido e quais são suas informações de contato? Quais são as responsabilidades de cada parte interessada?

• Etapas de resposta: em todas as fases da resposta a incidentes, quais etapas táticas devem ser seguidas? Quais consultas um analista deve executar? Qual código deve ser executado para alcançar o resultado desejado?

  • Detectar: como o incidente será detectado?

  • Análise: como o escopo do impacto será determinado?

  • Contêm: como o incidente será isolado para limitar o escopo?

  • Erradicar: como a ameaça será removida do ambiente?

  • Recuperar: como o sistema ou o recurso afetado voltará à produção?

• Resultados esperados: depois que as consultas e o código forem executados, qual é o resultado esperado do manual?

Recursos

Práticas recomendadas relacionadas ao Well-Architected:

• SEC10-BP02 - Develop incident management plans (SEC10-BP02 – Desenvolver planos de gerenciamento de incidentes)

Documentos relacionados:

• Framework for Incident Response Playbooks (Estrutura para manuais de resposta a incidentes) 

• Develop your own Incident Response Playbooks (Desenvolva seus próprios manuais de resposta a incidentes) 

• Incident Response Playbook Samples (Amostras do manual de resposta a incidentes) 

• Building an AWS incident response runbook using Jupyter playbooks and CloudTrail Lake