SEC10-BP04 Desenvolva e teste manuais de resposta a incidentes de segurança
Uma parte fundamental da preparação de seus processos de resposta a incidentes é desenvolver manuais. Os manuais de resposta a incidentes fornecem uma série de orientações prescritivas e etapas a serem seguidas quando ocorre um evento de segurança. Ter uma estrutura e etapas claras simplifica a resposta e reduz a probabilidade de erro humano.
Nível de risco exposto se esta prática recomendada não for estabelecida: Médio
Orientação para implementação
Os manuais devem ser criados para cenários de incidentes, como:
-
Incidentes esperados: os manuais devem ser criados para os incidentes previstos. Isso inclui ameaças como negação de serviço (DoS), ransomware e comprometimento de credenciais.
-
Descobertas ou alertas de segurança conhecidos: os manuais devem ser criados para descobertas e alertas de segurança conhecidos, como descobertas do GuardDuty. Você pode receber uma descoberta do GuardDuty e pensar: “E agora?” Para evitar que você trate incorretamente ou ignore uma descoberta do GuardDuty, crie um manual para cada possível descoberta do GuardDuty. Alguns detalhes e orientações sobre a correção podem ser encontrados na documentação do GuardDuty. É importante notar que o GuardDuty não está habilitado por padrão e tem um custo. Para obter mais detalhes sobre o GuardDuty, consulte Appendix A: Cloud capability definitions - Visibility and alerting.
Os manuais devem conter etapas técnicas a serem concluídas por um analista de segurança para investigar e responder adequadamente a um possível incidente de segurança.
Etapas da implementação
Os itens a serem incluídos em um manual incluem:
-
Visão geral do manual: qual cenário de risco ou incidente esse manual aborda? Qual é o objetivo do manual?
-
Pré-requisitos: quais logs, mecanismos de detecção e ferramentas automatizadas são necessários para esse cenário de incidente? Qual é a notificação esperada?
-
Informações de comunicação e escalonamento: quem está envolvido e quais são suas informações de contato? Quais são as responsabilidades de cada parte interessada?
-
Etapas de resposta: em todas as fases da resposta a incidentes, quais etapas táticas devem ser seguidas? Quais consultas um analista deve executar? Qual código deve ser executado para alcançar o resultado desejado?
-
Detectar: como o incidente será detectado?
-
Análise: como o escopo do impacto será determinado?
-
Contêm: como o incidente será isolado para limitar o escopo?
-
Erradicar: como a ameaça será removida do ambiente?
-
Recuperar: como o sistema ou o recurso afetado voltará à produção?
-
-
Resultados esperados: depois que as consultas e o código forem executados, qual é o resultado esperado do manual?
Recursos
Práticas recomendadas relacionadas ao Well-Architected:
Documentos relacionados: