Operaciones - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Operaciones

Las operaciones son el núcleo de la respuesta ante los incidentes. Aquí es donde se llevan a cabo las acciones de respuesta y reparación de los incidentes de seguridad. Las operaciones incluyen las cinco fases siguientes: detección, análisis, contención, erradicación y recuperación. Las descripciones de estas fases y los objetivos se encuentran en la tabla 3.

Tabla 3: fases de las operaciones

Fase Objetivo
Detección Identifique un posible evento de seguridad.
Análisis Determine si el evento de seguridad es un incidente y evalúe su alcance.
Contención Minimice y limite el alcance del evento de seguridad.
Erradicación Elimine los recursos o artefactos no autorizados relacionados con el evento de seguridad. Implemente soluciones de mitigación para el incidente de seguridad.
Recuperación Restaure los sistemas a un estado seguro conocido y monitoree estos sistemas para comprobar que la amenaza no regrese.

Las fases deben servir de guía a la hora de responder y operar en los incidentes de seguridad con el fin de responder de manera eficaz y sólida. Las medidas reales que tome variarán según el incidente. Por ejemplo, un incidente relacionado con ransomware contará con un proceso de respuesta diferente al de un incidente que involucre a un bucket de Amazon S3 público. Además, no es necesario que estas fases se produzcan de forma secuencial. Tras la contención y la erradicación, es posible que tenga que volver al análisis para saber si sus acciones fueron eficaces.