Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengandung
Pendekatan AMS terhadap penahanan adalah kemitraan dengan Anda. Anda memahami bisnis Anda dan dampak beban kerja yang mungkin terjadi dari aktivitas penahanan, seperti isolasi jaringan, pengguna IAM atau de-penyediaan peran, pembangunan ulang instans, dan sebagainya.
Bagian penting dari penahanan adalah pengambilan keputusan. Misalnya, mematikan sistem, mengisolasi sumber daya dari jaringan, atau mematikan akses atau mengakhiri sesi. Keputusan ini lebih mudah dibuat jika ada strategi dan prosedur yang telah ditentukan untuk menahan insiden tersebut. AMS menyediakan strategi penahanan dan kemudian menerapkan solusi setelah Anda mempertimbangkan risiko yang terlibat dengan penerapan tindakan penahanan.
Ada opsi penahanan yang berbeda tergantung pada sumber daya yang dianalisis. AMS mengharapkan beberapa jenis penahanan akan dikerahkan secara bersamaan selama penyelidikan insiden. Beberapa contoh ini meliputi:
Menerapkan aturan perlindungan untuk memblokir lalu lintas yang tidak sah (Grup keamanan, NACL, Aturan WAF, aturan SCP, Tolak daftar, pengaturan tindakan tanda tangan ke karantina atau blokir)
Isolasi Sumber Daya
Isolasi Jaringan
Menonaktifkan pengguna, peran, dan kebijakan IAM
Memodifikasi/Mengurangi pengguna IAM, hak istimewa peran
Mengakhirkan/menangguhkan/menghapus sumber daya komputasi
Membatasi akses publik dari sumber daya yang terpengaruh
Memutar kunci akses, kunci API, dan kata sandi
-
Menggosok kredensi yang diungkapkan dan informasi sensitif
AMS mendorong Anda untuk mempertimbangkan jenis strategi penahanan untuk setiap jenis insiden besar yang berada dalam selera risiko mereka, dengan kriteria yang didokumentasikan dengan jelas untuk membantu pengambilan keputusan jika terjadi insiden. Kriteria untuk menentukan strategi yang tepat meliputi:
Potensi kerusakan sumber daya
Pelestarian bukti
Ketidaktersediaan layanan (misalnya, konektivitas jaringan, layanan yang diberikan kepada pihak eksternal)
Waktu dan sumber daya yang dibutuhkan untuk mengimplementasikan strategi
Efektivitas strategi (Misalnya, penahanan sebagian, penahanan penuh)
Permanen solusi (Misalnya, keputusan pintu satu arah vs pintu dua arah)
Durasi solusi (Misalnya, solusi darurat yang akan dihapus dalam empat jam, solusi sementara yang akan dihapus dalam dua minggu, solusi permanen).
Terapkan kontrol keamanan yang dapat Anda aktifkan untuk menurunkan risiko dan memberikan waktu untuk menentukan dan menerapkan penahanan yang lebih efektif.
Kecepatan penahanan sangat penting, AMS menyarankan pendekatan bertahap untuk mencapai penahanan yang efisien dan efektif dengan menyusun strategi pendekatan jangka pendek dan jangka panjang.
Gunakan panduan ini untuk mempertimbangkan strategi penahanan Anda yang melibatkan teknik berbeda berdasarkan jenis sumber daya.
Strategi Penahanan
Dapatkah AMS mengidentifikasi ruang lingkup insiden keamanan?
Jika ya, identifikasi semua sumber daya (pengguna, sistem, sumber daya).
Jika tidak, selidiki secara paralel dengan mengeksekusi langkah berikutnya pada sumber daya yang diidentifikasi.
Bisakah sumber daya diisolasi?
Jika ya, maka lanjutkan untuk mengisolasi sumber daya yang terpengaruh.
Jika tidak, maka bekerja dengan pemilik dan manajer sistem untuk menentukan tindakan lebih lanjut yang diperlukan untuk mengatasi masalah.
Apakah semua sumber daya yang terpengaruh terisolasi dari sumber daya yang tidak terpengaruh?
Jika ya, lanjutkan ke langkah berikutnya.
Jika tidak, maka teruslah mengisolasi sumber daya yang terkena dampak sampai penahanan jangka pendek dicapai untuk mencegah insiden meningkat lebih lanjut.
Sistem Backup
Apakah salinan cadangan dari sistem yang terpengaruh dibuat untuk analisis lebih lanjut?
Apakah salinan forensik dienkripsi dan disimpan di lokasi yang aman?
Jika ya, lanjutkan ke langkah berikutnya.
Jika tidak, enkripsi gambar forensik, lalu simpan di lokasi yang aman untuk mencegah penggunaan, kerusakan, dan gangguan yang tidak disengaja.
