Respuesta a eventos de malware - Guía de usuario avanzada de AMS
Fase A: DetectarFase B: AnalizarFase C: Contener y erradicarInforme posterior al incidente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Respuesta a eventos de malware

Las EC2 instancias de Amazon se utilizan para alojar diversas cargas de trabajo, incluido software de terceros y software desarrollado a medida que implementan los equipos de aplicaciones de las organizaciones. AMS le ofrece y le anima a implementar sus cargas de trabajo en imágenes parcheadas y mantenidas de forma continua por AMS.

Durante el funcionamiento de las instancias, AMS monitorea las anomalías en el comportamiento o la actividad a través de una variedad de controles de detección de seguridad, incluidos Amazon, Endpoint Protection GuardDuty, Network Traffic y los feeds internos de Inteligencia de Amenazas de Amazon.

Los clientes de AMS que utilizan el modelo operativo AMS Advanced instalan automáticamente el cliente de supervisión de Endpoint Security (EPS) en los recursos aprovisionados. Esto garantiza que los recursos se supervisen y admitan las 24 horas del día, los 7 días de la semana, lo que incluye la creación de un incidente de seguridad cuando se detecta un evento.

AMS también monitorea los hallazgos de GuardDuty malware. Están disponibles tanto en AMS Advanced como en AMS Accelerate, si están activados. Consulta Protección contra malware en Amazon GuardDuty para obtener más información.

nota

Si has optado por Bring Your Own EPS, el proceso de respuesta a los incidentes es diferente al que se describe en esta página. Para obtener más información, consulte la documentación a la que se hace referencia.

Cuando se detecta malware, se crea un incidente y se le notifica del mismo. Esta notificación va seguida de cualquier actividad de reparación que se haya producido. AMS Operations investiga, recopila, clasifica y analiza los datos y, a continuación, lleva a cabo actividades de contención según sus instrucciones, seguidas de un análisis posterior al suceso.

Fase A: Detectar

AMS monitorea los eventos en las instancias con GuardDuty una solución de seguridad de punto final. AMS determina las actividades de enriquecimiento y clasificación adecuadas para ayudarle a tomar decisiones de contención o aceptación de riesgos en función del tipo de hallazgo o alerta.

La recopilación de datos se realiza en función del tipo de hallazgo. La recopilación de datos implica consultar múltiples fuentes de datos, tanto internas como externas, a la cuenta afectada para obtener una idea de la actividad observada o de las configuraciones preocupantes.

AMS correlaciona el hallazgo con cualquier otra alarma y alerta o telemetría de cualquier cuenta afectada o plataforma de inteligencia de amenazas de AMS.

Fase B: analizar

Una vez recopilados los datos, se analizan para identificar cualquier actividad o indicador preocupante. Durante esta fase de la investigación, AMS colabora con usted para integrar el conocimiento empresarial y el dominio de las instancias y las cargas de trabajo a fin de comprender qué se espera y qué es lo que está fuera de lo común.

Algunos ejemplos de la información proporcionada durante la investigación para respaldar las comprobaciones internas son:

  • Información de la cuenta: ¿En qué cuenta se observó la actividad del malware?

  • Detalles de la instancia: ¿Qué instancias están implicadas en los eventos de malware?

  • Fecha y hora del evento: ¿Cuándo se activó la alerta?

  • Información sobre la carga de trabajo: ¿Qué se está ejecutando en la instancia?

  • Detalles sobre el malware, si corresponde: familias de malware e información de código abierto sobre el malware.

  • Detalles sobre los usuarios o las funciones: ¿Qué usuarios o funciones se ven afectados por la actividad o participan en ella?

  • Registros de actividad: ¿Qué actividades se registran en la instancia? Se presentan en forma de CloudWatch eventos y eventos del sistema de la instancia. Saber cómo leer estos registros le ayudará en la investigación

  • Actividad de red: ¿Qué puntos finales se conectan a la instancia, a qué se conecta la instancia y cuál es el análisis del tráfico?

Se recomienda estar preparado para recibir información sobre la investigación y tener un plan sobre cómo contactar con los puntos de contacto adecuados para las cuentas, las instancias y las cargas de trabajo de la organización. Comprender la topología de la red y la conexión prevista puede ayudar a acelerar el análisis de impacto. El conocimiento de las pruebas de penetración planificadas en el entorno y de las implementaciones recientes realizadas por los propietarios de las aplicaciones también puede acelerar la investigación.

Si determina que la actividad está planificada y autorizada, el incidente se actualiza y la investigación finaliza. Si se confirma el compromiso, usted y AMS determinarán el plan de contención adecuado.

Fase C: Contener y erradicar

AMS colabora con usted para determinar las actividades de contención adecuadas en función de los datos recopilados y la información conocida. Las opciones de contención incluyen, pero no se limitan a:

  • Preservar los datos mediante instantáneas

  • Modificar las reglas de red para limitar el tráfico entrante o saliente de las instancias

  • Modificar las políticas de usuarios y roles de SCP e IAM para limitar el acceso

  • Finalización, suspensión o desactivación de instancias

  • Finalizar cualquier conexión persistente

  • Rotación de las credenciales y claves apropiadas

Si opta por realizar una actividad de erradicación contra la instancia, AMS lo ayudará a lograrlo. Las opciones incluyen, pero no se limitan a:

  • Eliminar cualquier software no deseado

  • Reconstruir la instancia a partir de una imagen limpia y completamente parcheada y volver a implementar las aplicaciones y la configuración

  • Restauración de la instancia a partir de una copia de seguridad anterior

  • Implementar aplicaciones y servicios en otra instancia de su cuenta que pueda ser adecuada para alojar las cargas de trabajo.

Es importante determinar cómo se distribuyó y ejecutó el malware en la instancia antes de restablecer el servicio para asegurarse de que se aplican todos los controles adicionales que impidan que el malware vuelva a aparecer en la instancia. AMS proporciona información o información adicional a sus socios o equipos forenses, según sea necesario, para respaldar la labor forense.

En este punto, trabajará con AMS Operations para las actividades de recuperación. AMS trabaja en estrecha colaboración con usted para minimizar las interrupciones en las cargas de trabajo y proteger las instancias.

Informe posterior al incidente

Según sea necesario, AMS inicia el proceso de revisión de la investigación para identificar las lecciones aprendidas. Como parte de completar un COE, AMS le comunica los hallazgos relevantes para ayudarlo a mejorar su proceso de respuesta a incidentes.

AMS documenta los detalles finales de la investigación, recopila las métricas adecuadas e informa del incidente a los equipos internos de AMS que requieren información, incluidos el CSDM y el CA asignados.