Erradicación
La erradicación, en relación con la respuesta ante incidentes de seguridad, consiste en eliminar recursos sospechosos o no autorizados con el fin de devolver la cuenta a un estado seguro conocido. La estrategia de erradicación depende de varios factores que, a su vez, dependen de los requisitos empresariales de la organización.
En la guía SP 800-61 Computer Security Incident Handling Guide
-
Identifique y mitigue todas las vulnerabilidades que se explotaron.
-
Elimine el malware, los materiales inapropiados y otros componentes.
-
Si se descubren más hosts afectados (por ejemplo, nuevas infecciones de malware), repita los pasos de detección y análisis para identificar todos los demás hosts afectados y, a continuación, contenga y erradique el incidente en ellos.
En el caso de los recursos de AWS, esto se puede definir aún más mediante los eventos detectados y analizados a través de los registros disponibles o herramientas automatizadas, como Registros de CloudWatch y Amazon GuardDuty. Esos eventos deberían ser la base para determinar qué correcciones deben realizarse para restaurar adecuadamente el entorno a un estado seguro conocido.
El primer paso de la erradicación es determinar qué recursos se han visto afectados dentro de la cuenta de AWS. Para ello, se deben analizar los orígenes de datos de los registros, los recursos y las herramientas automatizadas disponibles.
-
Identifique las acciones no autorizadas realizadas por las identidades de IAM en su cuenta.
-
Identifique el acceso no autorizado o los cambios en su cuenta.
-
Identifique la creación de recursos o usuarios de IAM no autorizados.
-
Identifique los sistemas o recursos con cambios no autorizados.
Una vez identificada la lista de recursos, debe evaluar cada uno de ellos para determinar el impacto en la empresa si el recurso se elimina o se restaura. Por ejemplo, si un servidor web aloja su aplicación empresarial y eliminarla provocaría un tiempo de inactividad, debería considerar la posibilidad de recuperar el recurso de copias de seguridad seguras y verificadas o volver a iniciar el sistema desde una AMI limpia antes de eliminar el servidor afectado.
Una vez finalizado el análisis del impacto empresarial y con los eventos del análisis de registros, debería acceder a las cuentas y realizar las correcciones adecuadas, como, por ejemplo:
-
Rotar o eliminar claves: este paso elimina la capacidad del actor de seguir realizando actividades dentro de la cuenta.
-
Rotar las credenciales de los usuarios de IAM potencialmente no autorizados.
-
Elimine los recursos no reconocidos o no autorizados.
importante
Si debe conservar los recursos para su investigación, considere la posibilidad de hacer copias de seguridad de esos recursos. Por ejemplo, si debe retener una instancia de Amazon EC2 por motivos normativos, de cumplimiento o legales, cree una instantánea de Amazon EBS antes de eliminar la instancia.
-
En el caso de las infecciones de malware, es posible que tenga que ponerse en contacto con un socio de la AWS Partner u otro proveedor. AWS no ofrece herramientas nativas para el análisis o la eliminación del malware. Sin embargo, si utiliza el módulo de Protección contra malware de GuardDuty para Amazon EBS, es posible que haya recomendaciones disponibles sobre los resultados obtenidos.
Una vez que haya erradicado los recursos afectados identificados, AWS le recomienda que realice una revisión de seguridad de su cuenta. Para ello, use reglas de AWS Config, soluciones de código abierto como Prowler y ScoutSuite u otros proveedores. También debería considerar la posibilidad de realizar escaneos de vulnerabilidad comparándolos con sus recursos públicos (Internet) para evaluar el riesgo residual.
La erradicación es un paso del proceso de respuesta ante incidentes y puede ser manual o automática, según el incidente y los recursos afectados. La estrategia general debe ajustarse a las políticas de seguridad y las necesidades empresariales de la organización, y verificar que los efectos negativos se mitiguen a medida que se eliminen los recursos o configuraciones inapropiados.
