Contención - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Contención

El enfoque de AMS en materia de contención consiste en asociarse con usted. Usted comprende el impacto en su empresa y en la carga de trabajo que pueden derivarse de las actividades de contención, como el aislamiento de la red, el desaprovisionamiento de usuarios o roles de IAM, la reconstrucción de instancias, etc.

Una parte esencial de la contención es la toma de decisiones. Por ejemplo, apague un sistema, aísle un recurso de la red o desactive el acceso o finalice las sesiones. Estas decisiones son más fáciles de tomar si existen estrategias y procedimientos predeterminados para contener el incidente. AMS proporciona la estrategia de contención y, a continuación, implementa la solución después de haber considerado el riesgo que implica la implementación de las acciones de contención.

Existen diferentes opciones de contención en función de los recursos que se analicen. AMS espera que se desplieguen varios tipos de contención simultáneamente durante la investigación de un incidente. Algunos de estos ejemplos incluyen:

  • Aplique reglas de protección para bloquear el tráfico no autorizado (grupo de seguridad, NACL, reglas WAF, reglas SCP, denegar la inclusión en la lista, establecer una acción de firma en cuarentena o bloqueo)

  • Aislamiento de recursos

  • Aislamiento de red

  • Inhabilitar los usuarios, las funciones y las políticas de IAM

  • Modificar o reducir el privilegio de usuario y rol de IAM

  • Terminación, suspensión o eliminación de recursos informáticos

  • Restringir el acceso público desde el recurso afectado

  • Claves de acceso, claves de API y contraseñas rotativas

  • Eliminar las credenciales divulgadas y la información confidencial

AMS lo alienta a considerar el tipo de estrategias de contención para cada tipo de incidente grave que esté dentro de sus posibilidades de riesgo, con criterios claramente documentados que ayuden a la toma de decisiones en caso de que se produzca un incidente. Los criterios para determinar la estrategia adecuada incluyen:

  • Posibles daños a los recursos

  • Preservación de las pruebas

  • Falta de disponibilidad del servicio (por ejemplo, conectividad de red, servicios prestados a terceros)

  • Tiempo y recursos necesarios para implementar la estrategia

  • Efectividad de la estrategia (por ejemplo, contención parcial, contención total)

  • Permanencia de la solución (por ejemplo, decisiones entre puertas unidireccionales y puertas bidireccionales)

  • Duración de la solución (por ejemplo, una solución alternativa de emergencia que se eliminará en cuatro horas, una solución temporal que se eliminará en dos semanas o una solución permanente).

  • Aplique controles de seguridad que pueda activar para reducir el riesgo y disponer de tiempo para definir e implementar una contención más eficaz.

La velocidad de la contención es fundamental, por lo que AMS recomienda adoptar un enfoque gradual para lograr una contención eficiente y eficaz mediante la elaboración de estrategias a corto y largo plazo.

Utilice esta guía para considerar su estrategia de contención, que incluye diferentes técnicas según el tipo de recurso.

  • Estrategia de contención

    • ¿Puede AMS identificar el alcance del incidente de seguridad?

      • En caso afirmativo, identifique todos los recursos (usuarios, sistemas, recursos).

      • En caso contrario, investigue en paralelo mientras ejecuta el siguiente paso en los recursos identificados.

    • ¿Se puede aislar el recurso?

      • En caso afirmativo, proceda a aislar los recursos afectados.

      • En caso contrario, colabore con los propietarios y administradores del sistema para determinar las medidas adicionales necesarias para contener el problema.

    • ¿Están todos los recursos afectados aislados de los no afectados?

      • En caso afirmativo, continúe con el siguiente paso.

      • Si no, continúe aislando los recursos afectados hasta que se logre contenerlos a corto plazo para evitar que el incidente se agrave aún más.

  • Backup del sistema

    • ¿Se crearon copias de seguridad de los sistemas afectados para su posterior análisis?

    • ¿Están las copias forenses cifradas y almacenadas en una ubicación segura?

      • En caso afirmativo, continúe con el siguiente paso.

      • En caso contrario, cifre las imágenes forenses y almacénelas en una ubicación segura para evitar el uso accidental, los daños y las manipulaciones.