Resposta a incidentes na nuvem

Elaborar objetivos da resposta da nuvem

Embora os processos e os mecanismos gerais de resposta a incidentes, como os definidos no NIST SP 800-61 Computer Security Incident Handling Guide (Guia de tratamento de incidentes de segurança de computadores NIST SP 800-61), permaneçam válidos, recomendamos que você considere os objetivos específicos desse projeto que são relevantes para responder a incidentes de segurança em um ambiente de nuvem:

Estabeleça objetivos de resposta: trabalhe com as partes interessadas, a assessoria jurídica e a liderança organizacional para determinar o objetivo da resposta a um incidente. São alguns objetivos comuns: conter e mitigar o problema, recuperar os recursos afetados, preservar dados para análise forense e atribuição.
Responda usando a nuvem: implemente seus padrões de resposta onde o evento e os dados ocorrem.
Saiba o que você tem e do que precisa: preserve logs, snapshots e outras evidências copiando-os para uma conta de nuvem de segurança centralizada. Use etiquetas, metadados e mecanismos que apliquem políticas de retenção. Por exemplo, você pode optar por usar o comando dd do Linux ou um equivalente do Windows para fazer uma cópia completa dos dados para fins investigativos.
Use mecanismos de reimplantação: se um problema de segurança puder ser atribuído a uma configuração incorreta, a correção poderá ser tão simples quanto a remoção da variação com a reimplantação dos recursos com a configuração apropriada. Quando possível, torne seus mecanismos de resposta seguros para serem executados mais de uma vez e em ambientes em um estado desconhecido.
Automatize sempre que possível: à medida que os problemas ou os incidentes se repetirem, crie mecanismos que façam triagem de modo programático e respondam a situações comuns. Use respostas humanas para incidentes exclusivos, novos e confidenciais.
Escolha soluções escaláveis: procure corresponder à escalabilidade da abordagem de sua organização quanto à computação em nuvem e reduza o tempo entre a detecção e a resposta.
Aprenda e melhore seu processo: quando você identificar lacunas em seu processo, ferramentas ou pessoas, implemente planos para corrigi-las. Simulações são métodos seguros para encontrar lacunas e melhorar processos.

As metas de design do NIST recomendam a análise da arquitetura quanto à capacidade de conduzir a resposta a incidentes e a detecção de ameaças. Ao planejar a implementação na nuvem, pense em responder a um incidente ou a um evento forense. Em alguns casos, isso significa que você pode ter várias organizações, contas e ferramentas configuradas especificamente para essas tarefas de resposta. Essas ferramentas e funções devem ser disponibilizadas para a equipe de resposta a incidentes pelo pipeline de implantação e não devem ser estáticas, pois isso causaria um risco maior.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Responsabilidade compartilhada

Incidentes de segurança na nuvem