Enthalten - AMS Accelerate-Benutzerhandbuch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Enthalten

Der Eindämmungsansatz von AMS basiert auf einer Partnerschaft mit Ihnen. Sie kennen Ihr Unternehmen und wissen, welche Auswirkungen Containment-Aktivitäten wie Netzwerkisolierung, Deprovisionierung von IAM-Benutzern oder -Rollen, Neuaufbau von Instanzen usw. haben können.

Ein wesentlicher Bestandteil der Eindämmung ist die Entscheidungsfindung. Fahren Sie beispielsweise ein System herunter, isolieren Sie eine Ressource vom Netzwerk, schalten Sie den Zugriff aus oder beenden Sie Sitzungen. Diese Entscheidungen sind leichter zu treffen, wenn es vorher festgelegte Strategien und Verfahren gibt, um den Vorfall einzudämmen. AMS stellt die Eindämmungsstrategie bereit und implementiert dann die Lösung, nachdem Sie das mit der Implementierung der Eindämmungsmaßnahmen verbundene Risiko berücksichtigt haben.

Je nach den zu analysierenden Ressourcen gibt es unterschiedliche Eindämmungsoptionen. AMS geht davon aus, dass bei der Untersuchung eines Vorfalls mehrere Eindämmungsarten gleichzeitig eingesetzt werden. Zu diesen Beispielen gehören unter anderem:

  • Wenden Sie Schutzregeln an, um unbefugten Datenverkehr zu blockieren (Sicherheitsgruppe, NACL, WAF-Regeln, SCP-Regeln, Liste verweigern, Signaturaktion auf Quarantäne oder Sperren festlegen)

  • Isolierung von Ressourcen

  • Netzwerkisolierung

  • Deaktivierung von IAM-Benutzern, -Rollen und -Richtlinien

  • Ändern/Reduzieren der IAM-Benutzer- und Rollenrechte

  • Rechenressourcen beenden, aussetzen oder löschen

  • Einschränkung des öffentlichen Zugriffs auf die betroffene Ressource

  • Rotierende Zugriffsschlüssel, API-Schlüssel und Passwörter

  • Löschen offengelegter Anmeldeinformationen und vertraulicher Informationen

AMS empfiehlt Ihnen, die Art der Eindämmungsstrategien für jede Art von schwerwiegenden Vorfällen, die ihrem Risikoappetit entsprechen, zu prüfen. Die Kriterien sind klar dokumentiert, um im Falle eines Vorfalls die Entscheidungsfindung zu erleichtern. Zu den Kriterien für die Festlegung der geeigneten Strategie gehören:

  • Mögliche Schäden an Ressourcen

  • Bewahrung von Beweismitteln

  • Nichtverfügbarkeit von Diensten (z. B. Netzwerkkonnektivität, Dienste, die für externe Parteien bereitgestellt werden)

  • Zeit und Ressourcen, die für die Umsetzung der Strategie benötigt wurden

  • Wirksamkeit der Strategie (z. B. teilweise Eindämmung, vollständige Eindämmung)

  • Dauerhaftigkeit der Lösung (z. B. Entscheidungen zwischen Einwegtüren und Einwegtüren)

  • Dauer der Lösung (z. B. Notfalllösung, die innerhalb von vier Stunden entfernt wird, vorübergehende Behelfslösung, die innerhalb von zwei Wochen entfernt wird, dauerhafte Lösung).

  • Wenden Sie Sicherheitskontrollen an, die Sie aktivieren können, um das Risiko zu verringern und Zeit für die Definition und Implementierung einer effektiveren Eindämmung zu gewinnen.

Die Geschwindigkeit der Eindämmung ist entscheidend. AMS empfiehlt einen schrittweisen Ansatz, um eine effiziente und effektive Eindämmung durch strategische Strategien für kurz- und langfristige Konzepte zu erreichen.

Verwenden Sie diesen Leitfaden, um Ihre Eindämmungsstrategie zu überdenken, die je nach Ressourcentyp unterschiedliche Techniken beinhaltet.

  • Eindämmungsstrategie

    • Kann AMS den Umfang des Sicherheitsvorfalls ermitteln?

      • Falls ja, identifizieren Sie alle Ressourcen (Benutzer, Systeme, Ressourcen).

      • Falls nein, untersuchen Sie dies parallel zur Ausführung des nächsten Schritts für identifizierte Ressourcen.

    • Kann die Ressource isoliert werden?

      • Falls ja, fahren Sie mit der Isolierung der betroffenen Ressourcen fort.

      • Falls nein, arbeiten Sie mit den Systembesitzern und Managern zusammen, um weitere Maßnahmen zur Eindämmung des Problems zu ergreifen.

    • Sind alle betroffenen Ressourcen von den nicht betroffenen Ressourcen isoliert?

      • Falls ja, fahren Sie mit dem nächsten Schritt fort.

      • Falls nein, isolieren Sie die betroffenen Ressourcen weiter, bis eine kurzfristige Eindämmung erreicht ist, um zu verhindern, dass der Vorfall weiter eskaliert.

  • Systemsicherung

    • Wurden für weitere Analysen Sicherungskopien der betroffenen Systeme erstellt?

    • Werden die forensischen Kopien verschlüsselt und an einem sicheren Ort gespeichert?

      • Falls ja, fahren Sie mit dem nächsten Schritt fort.

      • Falls nein, verschlüsseln Sie die forensischen Bilder und speichern Sie sie an einem sicheren Ort, um eine versehentliche Verwendung, Beschädigung und Manipulation zu verhindern.