Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pemberantasan
Pemberantasan, dalam kaitannya dengan respons insiden keamanan, adalah penghapusan sumber daya yang mencurigakan atau tidak sah dalam upaya mengembalikan akun ke kondisi aman yang diketahui. Strategi pemberantasan bergantung pada beberapa faktor, yang berkaitan dengan persyaratan bisnis untuk organisasi Anda.
Beberapa langkah pemberantasan tersedia di NIST SP 800-61 Computer Security Incident Handling Guide
-
Identifikasi dan mitigasi semua kerentanan yang dieksploitasi.
-
Hapus malware, materi yang tidak pantas, dan komponen lainnya.
-
Jika ternyata ada banyak host yang terpengaruh (misalnya, infeksi malware baru), ulangi langkah-langkah deteksi dan analisis untuk mengidentifikasi semua host lain yang terkena dampak, lalu tahan dan berantas insiden untuk host-host tersebut.
Untuk AWS sumber daya, ini dapat disempurnakan lebih lanjut melalui peristiwa yang terdeteksi dan dianalisis melalui log yang tersedia atau perkakas otomatis seperti CloudWatch Log dan Amazon GuardDuty. Peristiwa-peristiwa tersebut harus menjadi dasar untuk menentukan remediasi mana yang harus dilakukan untuk memulihkan lingkungan ke kondisi aman yang diketahui.
Langkah pertama pemberantasan adalah menentukan sumber daya mana yang terpengaruh dalam akun. AWS Hal ini dicapai melalui analisis sumber data log yang tersedia, sumber daya, dan alat otomatis.
-
Identifikasi tindakan tidak sah yang diambil oleh identitas IAM di akun Anda.
-
Identifikasi akses yang tidak sah atau perubahan pada akun Anda.
-
Identifikasi pembuatan sumber daya atau pengguna IAM yang tidak sah.
-
Identifikasi sistem atau sumber daya dengan perubahan yang tidak sah.
Setelah daftar sumber daya diidentifikasi, Anda harus menilai setiap sumber daya untuk menentukan dampak bisnis jika sumber daya dihapus atau dipulihkan. Sebagai contoh, jika server web menghosting aplikasi bisnis Anda dan menghapus server tersebut akan menyebabkan waktu henti, Anda harus mempertimbangkan untuk memulihkan sumber daya dari cadangan aman yang diverifikasi atau meluncurkan ulang sistem dari AMI yang bersih sebelum menghapus server yang terkena dampak.
Setelah Anda menyimpulkan analisis dampak bisnis Anda, maka, dengan menggunakan peristiwa dari analisis log Anda, Anda harus masuk ke akun dan melakukan remediasi yang sesuai, seperti:
-
Merotasi atau menghapus kunci - langkah ini menghilangkan kemampuan aktor untuk terus melakukan aktivitas di dalam akun.
-
Merotasi kredensial pengguna IAM yang berpotensi tidak sah.
-
Menghapus sumber daya yang tidak dikenal atau tidak sah.
penting
Jika Anda harus menyimpan sumber daya untuk penyelidikan Anda, pertimbangkan untuk mencadangkan sumber daya tersebut. Misalnya, jika Anda harus mempertahankan EC2 instans Amazon untuk alasan peraturan, kepatuhan, atau hukum, buat snapshot Amazon EBS sebelum menghapus instans.
-
Untuk infeksi malware, Anda mungkin perlu menghubungi vendor AWS Partner atau vendor lain. AWS tidak menawarkan alat asli untuk analisis atau penghapusan malware. Namun, jika Anda menggunakan modul GuardDuty Malware untuk Amazon EBS, maka rekomendasi mungkin tersedia untuk temuan yang disediakan.
Setelah Anda menghapus sumber daya yang teridentifikasi, AWS sarankan Anda melakukan tinjauan keamanan akun Anda. Ini dapat dilakukan dengan menggunakan AWS Config aturan, menggunakan solusi open-source seperti Prowler dan ScoutSuite, atau melalui vendor lain. Anda juga dapat mempertimbangkan untuk melakukan pemindaian kerentanan terhadap sumber daya yang digunakan publik (internet) untuk menilai risiko residual.
Pemberantasan adalah salah satu langkah dari proses respons insiden dan dapat dilakukan secara manual atau otomatis, tergantung insiden dan sumber daya yang terpengaruh. Strategi keseluruhan harus selaras dengan kebijakan keamanan dan kebutuhan bisnis organisasi, dan memverifikasi bahwa efek negatif dimitigasi saat sumber daya atau konfigurasi yang tidak sesuai dihapus.
