Resumen de los elementos de preparación - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Resumen de los elementos de preparación

La preparación exhaustiva para responder a los eventos de seguridad es fundamental para ofrecer una respuesta oportuna y eficaz ante los incidentes. La preparación de la respuesta ante incidentes implica a las personas, los procesos y la tecnología. Estos tres dominios son igualmente importantes para la preparación. Debe preparar y desarrollar su programa de respuesta ante incidentes en los tres dominios.

En la tabla 2 se resumen los elementos de preparación que se detallan en esta sección.

Tabla 2: elementos de preparación para la respuesta ante incidentes

Dominio Elemento de preparación Elementos de acción
Personas Defina los roles y las responsabilidades.

  • Identifique a las partes interesadas pertinentes en la respuesta ante incidentes.

  • Desarrolle un diagrama RACI (responsable, aprobador, consultado, informado) para un incidente.

Personas Forme al personal de respuesta ante incidentes sobre AWS.

  • Forme a las partes interesadas en la respuesta ante incidentes sobre los fundamentos de AWS.

  • Forme a las partes interesadas en la respuesta ante incidentes sobre los servicios de seguridad y monitoreo de AWS.

  • Forme a las partes interesadas en la respuesta ante incidentes sobre su entorno de AWS y su arquitectura.

Personas Información sobre las opciones de soporte de AWS.

  • Comprenda las diferencias entre el soporte de AWS, el equipo de respuesta ante incidentes de clientes (CIRT), el equipo de respuesta a ataques DDoS (DRT) y AMS.

  • Comprenda el proceso de clasificación y escalado para contactar con el CIRT durante un evento de seguridad activo, si es necesario.

Proceso Desarrolle un plan de respuesta ante incidentes.

  • Cree un documento de alto nivel que defina su programa y estrategia de respuesta ante incidentes.

  • En el plan de respuesta ante incidentes, incluya una matriz RACI, un plan de comunicación, definiciones de incidentes y fases de respuesta ante incidentes.

Proceso Documente y centralice los diagramas de arquitectura.

  • Documente los detalles sobre cómo está configurado el entorno de AWS en cuanto a la estructura de cuentas, el uso de servicios, los patrones de IAM y otras funcionalidades principales de su configuración de AWS.

  • Desarrolle diagramas de arquitectura de sus arquitecturas en la nube.

Proceso Desarrolle manuales de estrategias de respuesta ante incidentes.

  • Cree una plantilla para la estructura de sus manuales de estrategias.

  • Cree manuales de estrategias para los eventos de seguridad previstos.

  • Cree manuales de estrategias para las alertas de seguridad conocidas, como los resultados de GuardDuty.

Proceso Realice simulaciones con regularidad.

  • Desarrolle una cadencia regular para realizar las simulaciones de incidentes.

  • Utilice los resultados y las lecciones aprendidas para repetir su programa de respuesta ante incidentes.

Tecnología Desarrolle una estructura de cuentas de AWS.

  • Planifique una estructura de cuentas para separar las cargas de trabajo por cuentas de AWS.

  • Cree una unidad organizativa de seguridad con una cuenta de almacenamiento de registros y herramientas de seguridad.

  • Cree una unidad organizativa de análisis forenses con cuentas forenses para cada región en la que opere.

Tecnología Desarrolle e implemente una estrategia de etiquetado que ayude a los respondedores a identificar la propiedad y el contexto de los resultados.

  • Planifique una estrategia de etiquetado y establezca qué etiquetas quiere asociar a sus recursos de AWS.

  • Implemente y aplique la estrategia de etiquetado.

Tecnología Actualice la información de contacto de las cuentas de AWS.

  • Compruebe que las cuentas de AWS incluyan la información de contacto en la lista.

  • Cree listas de distribución de correo electrónico para la información de contacto a fin de eliminar los puntos únicos de error.

  • Proteja las cuentas de correo electrónico asociadas a la información de las cuentas de AWS.

Tecnología Prepare el acceso a las cuentas de AWS.

  • Defina qué acceso necesitarán los servicios de respuesta ante incidentes para responder a un incidente.

  • Implemente, pruebe y monitoree el acceso.

Tecnología Comprenda el panorama de amenazas.

  • Desarrolle modelos de amenazas para su entorno y sus aplicaciones.

  • Integre y use la inteligencia de ciberamenazas.

Tecnología Seleccione y configure los registros.

  • Identifique y habilite los registros para las investigaciones.

  • Seleccione el almacenamiento de registros.

  • Identifique e implemente la retención de registros.

  • Desarrolle un mecanismo para recuperar y consultar registros y artefactos.

  • Utilice los registros para emitir las alertas.

Tecnología Desarrolle capacidades de análisis forenses.

  • Identifique los artefactos necesarios para la recolección forense.

  • Capture y proteja las copias de seguridad de los sistemas clave.

  • Defina los mecanismos para el análisis de los registros y artefactos identificados.

  • Implemente la automatización para el análisis forense.

Se recomienda un enfoque iterativo para la preparación de la respuesta ante incidentes. Todos estos elementos de preparación no se pueden realizar de la noche a la mañana; debe crear un plan para empezar poco a poco y mejorar continuamente sus capacidades de respuesta ante incidentes a lo largo del tiempo.