Respon terhadap peristiwa malware - Panduan Pengguna Tingkat Lanjut AMS
Fase A: MendeteksiFase B: AnalisisFase C: Mengandung dan MembasmiLaporan Pasca Insiden

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Respon terhadap peristiwa malware

EC2 Instans Amazon digunakan untuk menampung berbagai beban kerja termasuk perangkat lunak pihak ketiga dan perangkat lunak yang dikembangkan khusus yang digunakan oleh tim aplikasi dalam organisasi. AMS menyediakan dan mendorong Anda untuk menerapkan beban kerja Anda pada gambar yang ditambal dan dipelihara secara berkelanjutan oleh AMS.

Selama pengoperasian instance, AMS memantau anomali perilaku atau aktivitas melalui berbagai kontrol deteksi keamanan, termasuk Amazon, Endpoint Protection, Network GuardDuty Traffic, dan Amazon internal Threat Intelligence feed.

Pelanggan AMS dengan model operasi AMS Advanced secara otomatis menginstal klien pemantauan keamanan titik akhir (EPS) pada sumber daya yang disediakan. Ini memastikan bahwa sumber daya dipantau dan didukung 24x7, termasuk pembuatan insiden keamanan ketika suatu peristiwa terdeteksi.

AMS juga memantau Temuan GuardDuty Malware. Ini tersedia di AMS Advanced dan AMS Accelerate, jika diaktifkan. Lihat Perlindungan Malware di Amazon GuardDuty untuk informasi selengkapnya.

catatan

Jika Anda memilih Bring Your Own EPS, maka proses untuk respons insiden berbeda dari apa yang diuraikan di halaman ini. Untuk informasi lebih lanjut, lihat dokumentasi yang direferensikan.

Ketika malware terdeteksi, insiden dibuat dan Anda diberitahu tentang peristiwa tersebut. Pemberitahuan ini diikuti oleh aktivitas remediasi apa pun yang terjadi. Operasi AMS menyelidiki, melakukan pengumpulan data, triase dan analisis, dan kemudian melakukan aktivitas penahanan sesuai arahan Anda, diikuti dengan analisis pasca peristiwa.

Fase A: Mendeteksi

AMS memantau peristiwa pada instans dengan GuardDuty dan pemantauan solusi keamanan titik akhir. AMS menentukan aktivitas pengayaan dan triase yang sesuai untuk membantu Anda membuat keputusan penahanan atau penerimaan risiko berdasarkan temuan atau jenis peringatan.

Pengumpulan data dilakukan berdasarkan jenis temuan. Pengumpulan data melibatkan kueri beberapa sumber data baik di dalam maupun di luar akun yang terpengaruh untuk membangun gambaran aktivitas yang diamati atau konfigurasi yang menjadi perhatian.

AMS melakukan korelasi temuan dengan alarm dan peringatan atau telemetri lain dari akun yang terkena dampak atau platform intelijen ancaman AMS.

Fase B: Analisis

Setelah data dikumpulkan, data dianalisis untuk mengidentifikasi aktivitas atau indikator yang menjadi perhatian. Selama fase penyelidikan ini, AMS bermitra dengan Anda untuk mengintegrasikan pengetahuan bisnis dan domain tentang instans dan beban kerja untuk membantu memahami apa yang diharapkan dan apa yang tidak biasa.

Beberapa contoh informasi yang diberikan selama penyelidikan untuk mendukung pemeriksaan internal meliputi:

  • Informasi Akun: Di akun apa aktivitas malware diamati?

  • Detail Instance: Instance apa yang terlibat dengan peristiwa malware?

  • Stempel waktu acara: Kapan peringatan dipicu?

  • Informasi Beban Kerja: Apa yang berjalan pada instance?

  • Detail malware, jika relevan: Keluarga malware dan informasi Open Source tentang malware.

  • Pengguna atau Rincian Peran: Pengguna atau peran apa yang dipengaruhi oleh dan terlibat dalam aktivitas?

  • Catatan Aktivitas: Aktivitas apa yang direkam pada instance? Ini dalam bentuk CloudWatch peristiwa, dan peristiwa sistem dari instance. Memahami cara membaca log ini akan membantu Anda dalam penyelidikan

  • Aktivitas Jaringan: Titik akhir apa yang terhubung ke instance, apa yang terhubung dengan instance, dan apa analisis lalu lintas?

Merupakan praktik terbaik untuk bersiap menerima informasi investigasi, dan memiliki rencana tentang cara menghubungi titik kontak yang sesuai untuk akun, contoh, dan beban kerja dalam organisasi Anda. Memahami topologi jaringan Anda dan koneksi yang diharapkan dapat membantu mempercepat analisis dampak. Pengetahuan tentang pengujian penetrasi yang direncanakan di lingkungan dan penerapan terbaru yang dilakukan oleh pemilik aplikasi juga dapat mempercepat penyelidikan.

Jika Anda menentukan bahwa kegiatan tersebut direncanakan dan diotorisasi, maka insiden tersebut diperbarui dan penyelidikan berakhir. Jika kompromi dikonfirmasi, maka Anda dan AMS menentukan rencana penahanan yang sesuai.

Phace C: Mengandung dan Membasmi

AMS bermitra dengan Anda untuk menentukan aktivitas penahanan yang sesuai berdasarkan data yang dikumpulkan dan informasi yang diketahui. Opsi penahanan termasuk tetapi tidak terbatas pada:

  • Melestarikan data melalui snapshot

  • Memodifikasi aturan jaringan untuk membatasi lalu lintas masuk atau keluar dari instance

  • Memodifikasi kebijakan pengguna dan peran SCP, IAM untuk membatasi akses

  • Mengakhiri, Menangguhkan, atau Mematikan Instans

  • Mengakhiri koneksi persisten

  • Memutar kredensial/kunci yang sesuai

Jika Anda memilih untuk melakukan aktivitas pemberantasan terhadap instans, AMS mendukung Anda dalam mencapai hal ini. Opsi termasuk, tetapi tidak terbatas pada:

  • Menghapus perangkat lunak yang tidak diinginkan

  • Membangun kembali instance dari gambar yang sepenuhnya ditambal dan menerapkan ulang aplikasi dan konfigurasi

  • Memulihkan instance dari cadangan sebelumnya

  • Menyebarkan aplikasi dan layanan ke instance lain dalam akun Anda yang mungkin cocok untuk meng-host beban kerja.

Penting untuk menentukan bagaimana malware dikirimkan dan dijalankan pada instance sebelum pemulihan layanan untuk memastikan bahwa setiap kontrol tambahan diterapkan untuk mencegah terulangnya malware pada instance. AMS memberikan wawasan atau informasi tambahan kepada mitra atau tim forensik Anda yang diperlukan untuk mendukung forensik.

Pada titik ini, Anda bekerja dengan Operasi AMS untuk kegiatan pemulihan. AMS bekerja sama dengan Anda untuk meminimalkan gangguan pada beban kerja dan mengamankan instans.

Laporan Pasca Insiden

Sesuai kebutuhan, AMS memulai proses peninjauan investigasi untuk mengidentifikasi pelajaran yang dipetik. Sebagai bagian dari menyelesaikan COE, AMS mengkomunikasikan temuan yang relevan kepada Anda untuk membantu Anda meningkatkan proses respons insiden Anda.

AMS mendokumentasikan rincian akhir investigasi, mengumpulkan metrik yang sesuai, dan melaporkan insiden tersebut ke tim internal AMS yang memerlukan informasi, termasuk CSDM dan CA yang Anda tetapkan.