Reaktion auf Malware-Ereignisse - AMS-Benutzerhandbuch für Fortgeschrittene
Phase A: ErkennenPhase B: AnalysierenPhase C: Eindämmen und AusrottenBericht nach dem Vorfall

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Reaktion auf Malware-Ereignisse

EC2 Amazon-Instances werden verwendet, um eine Vielzahl von Workloads zu hosten, darunter Software von Drittanbietern und individuell entwickelte Software, die von Anwendungsteams innerhalb von Organisationen bereitgestellt wird. AMS stellt Images bereit und ermutigt Sie dazu, Ihre Workloads auf Images bereitzustellen, die von AMS fortlaufend gepatcht und gewartet werden.

Während des Betriebs von Instances überwacht AMS mithilfe einer Vielzahl von Sicherheitserkennungskontrollen, darunter Amazon GuardDuty, Endpoint Protection, Network Traffic und interne Threat Intelligence-Feeds von Amazon, auf Verhaltens- oder Aktivitätsanomalien.

AMS-Kunden mit dem AMS Advanced-Betriebsmodell haben den Endpoint Security (EPS) -Monitoring-Client automatisch auf den bereitgestellten Ressourcen installiert. Dadurch wird sichergestellt, dass die Ressourcen rund um die Uhr überwacht und unterstützt werden, einschließlich der Entstehung eines Sicherheitsvorfalls, wenn ein Ereignis erkannt wird.

AMS überwacht auch GuardDuty Malware-Ergebnisse. Diese sind sowohl für AMS Advanced als auch für AMS Accelerate verfügbar, sofern sie aktiviert sind. Weitere Informationen finden Sie unter Malware-Schutz bei Amazon GuardDuty.

Anmerkung

Wenn Sie sich für Bring Your Own EPS entschieden haben, unterscheidet sich das Verfahren zur Reaktion auf Vorfälle von dem, was auf dieser Seite beschrieben wird. Weitere Informationen finden Sie in der Dokumentation, auf die verwiesen wird.

Wenn Malware erkannt wird, wird ein Vorfall erstellt und Sie werden darüber informiert. Auf diese Benachrichtigung folgen alle aufgetretenen Behebungsmaßnahmen. AMS Operations untersucht, führt Datenerfassung, Sortierung und Analyse durch und führt dann auf Ihre Anweisung hin Eindämmungsmaßnahmen durch, gefolgt von Analysen nach dem Ereignis.

Phase A: Erkennen

AMS überwacht Instances auf Ereignissen mit einer GuardDuty Sicherheitslösung für Endpunkte. AMS bestimmt die geeigneten Anreicherungs- und Triage-Aktivitäten, damit Sie je nach Befund- oder Warnungstyp Entscheidungen zur Eindämmung oder Risikoakzeptanz treffen können.

Die Datenerfassung erfolgt auf der Grundlage des Ergebnistyps. Bei der Datenerhebung werden mehrere Datenquellen innerhalb und außerhalb des betroffenen Kontos abgefragt, um sich ein Bild von der beobachteten Aktivität oder den besorgniserregenden Konfigurationen zu machen.

AMS korreliert die Ergebnisse mit allen anderen Alarmen und Warnmeldungen oder Telemetriedaten von allen betroffenen Konten oder AMS-Bedrohungsinformationsplattformen.

Phase B: Analysieren

Nachdem die Daten gesammelt wurden, werden sie analysiert, um mögliche Aktivitäten oder besorgniserregende Indikatoren zu identifizieren. In dieser Phase der Untersuchung arbeitet AMS mit Ihnen zusammen, um Geschäfts- und Domänenwissen über die Instanzen und Workloads zu integrieren, damit Sie besser verstehen, was erwartet wird und was ungewöhnlich ist.

Zu den Informationen, die während der Untersuchung zur Unterstützung interner Kontrollen zur Verfügung gestellt wurden, gehören unter anderem:

  • Kontoinformationen: Auf welchem Konto wurde die Malware-Aktivität beobachtet?

  • Instanzdetails: Welche Instanz (en) sind von den Malware-Ereignissen betroffen?

  • Zeitstempel des Ereignisses: Wann wurde die Warnung ausgelöst?

  • Informationen zur Arbeitslast: Was läuft auf der Instance?

  • Malware-Details, falls relevant: Malware-Familien und Open-Source-Informationen zu der Malware.

  • Benutzer- oder Rollendetails: Welche Benutzer oder Rollen sind von der Aktivität betroffen und an der Aktivität beteiligt?

  • Aktivitätsaufzeichnungen: Welche Aktivitäten werden auf der Instance aufgezeichnet? Diese liegen in Form von CloudWatch Ereignissen und Systemereignissen aus der Instanz vor. Wenn Sie wissen, wie diese Protokolle gelesen werden, können Sie sie leichter untersuchen

  • Netzwerkaktivität: Welche Endpunkte stellen eine Verbindung zu der Instance her, mit wem stellt die Instance eine Verbindung her und was ist die Traffic-Analyse?

Es hat sich bewährt, darauf vorbereitet zu sein, Ermittlungsinformationen zu erhalten, und einen Plan zu haben, wie Sie die entsprechenden Kontaktstellen für Accounts, Instances und Workloads innerhalb Ihres Unternehmens kontaktieren können. Wenn Sie Ihre Netzwerktopologie und die erwartete Verbindung kennen, können Sie die Folgenabschätzung beschleunigen. Kenntnisse über geplante Penetrationstests in der Umgebung und aktuelle Implementierungen, die von Anwendungsbesitzern durchgeführt wurden, können die Untersuchung ebenfalls beschleunigen.

Wenn Sie feststellen, dass die Aktivität geplant und autorisiert ist, wird der Vorfall aktualisiert und die Untersuchung abgeschlossen. Wenn der Kompromiss bestätigt wird, legen Sie und AMS den geeigneten Eindämmungsplan fest.

Phase C: Eindämmen und Ausrotten

AMS arbeitet mit Ihnen zusammen, um auf der Grundlage der gesammelten Daten und der bekannten Informationen geeignete Maßnahmen zur Eindämmung zu ermitteln. Zu den Eindämmungsoptionen gehören unter anderem:

  • Aufbewahrung von Daten durch Schnappschüsse

  • Änderung der Netzwerkregeln zur Begrenzung des Datenverkehrs innerhalb oder außerhalb von Instanzen

  • Änderung der SCP-, IAM-Benutzer- und Rollenrichtlinien zur Beschränkung des Zugriffs

  • Instanzen beenden, aussetzen oder ausschalten

  • Beenden aller dauerhaften Verbindungen

  • Rotieren der entsprechenden Anmeldeinformationen/Schlüssel

Wenn Sie sich dafür entscheiden, eine Eradikationsaktivität gegen die Instance durchzuführen, unterstützt Sie AMS dabei, dies zu erreichen. Zu den Optionen gehören, sind aber nicht beschränkt auf:

  • Unerwünschte Software entfernen

  • Neuaufbau der Instanz aus einem sauberen, vollständig gepatchten Image und erneutes Bereitstellen von Anwendungen und Konfiguration

  • Wiederherstellung der Instanz aus einem früheren Backup

  • Bereitstellen von Anwendungen und Diensten auf einer anderen Instanz innerhalb Ihres Kontos, die möglicherweise zum Hosten der Workloads geeignet ist.

Es ist wichtig, vor der Wiederherstellung des Dienstes festzustellen, wie die Malware übertragen und auf der Instanz ausgeführt wurde, um sicherzustellen, dass alle zusätzlichen Kontrollen angewendet werden, um ein erneutes Auftreten der Malware auf der Instanz zu verhindern. AMS stellt Ihren forensischen Partnern oder Teams bei Bedarf zusätzliche Erkenntnisse oder Informationen zur Verfügung, um die Forensik zu unterstützen.

Derzeit arbeiten Sie für die Wiederherstellungsaktivitäten mit AMS Operations zusammen. AMS arbeitet eng mit Ihnen zusammen, um Unterbrechungen der Workloads zu minimieren und die Instanzen zu sichern.

Bericht nach dem Vorfall

Bei Bedarf leitet AMS die Überprüfung der Untersuchung ein, um die gewonnenen Erkenntnisse zu ermitteln. Im Rahmen der Durchführung eines COE teilt AMS Ihnen die relevanten Ergebnisse mit, damit Sie Ihren Prozess zur Reaktion auf Vorfälle verbessern können.

AMS dokumentiert die letzten Einzelheiten der Untersuchung, sammelt geeignete Kennzahlen und meldet den Vorfall den internen Teams von AMS, die Informationen benötigen, einschließlich der von Ihnen zugewiesenen CSDM und CA.