Contenere - Guida utente di AMS Accelerate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Contenere

L'approccio di AMS al contenimento si basa sulla collaborazione con te. Conosci la tua attività e gli impatti sul carico di lavoro che potrebbero derivare dalle attività di contenimento, come l'isolamento della rete, il de-provisioning di utenti o ruoli IAM, la ricostruzione delle istanze e così via.

Una parte essenziale del contenimento è il processo decisionale. Ad esempio, spegnere un sistema, isolare una risorsa dalla rete o disattivare l'accesso o terminare le sessioni. Queste decisioni sono più facili da prendere se esistono strategie e procedure predeterminate per contenere l'incidente. AMS fornisce la strategia di contenimento e quindi implementa la soluzione dopo aver considerato il rischio associato all'implementazione delle azioni di contenimento.

Esistono diverse opzioni di contenimento a seconda delle risorse oggetto di analisi. AMS prevede che durante un'indagine su un incidente vengano implementati contemporaneamente più tipi di contenimento. Alcuni di questi esempi includono:

  • Applica regole di protezione per bloccare il traffico non autorizzato (gruppo di sicurezza, NACL, regole WAF, regole SCP, Deny listing, impostazione dell'azione di firma in quarantena o blocco)

  • Isolamento delle risorse

  • Isolamento di rete

  • Disabilitazione degli utenti, dei ruoli e delle politiche IAM

  • Modifica/riduzione dei privilegi di utente e ruolo IAM

  • Interruzione, sospensione, eliminazione delle risorse di calcolo

  • Limitazione dell'accesso pubblico alla risorsa interessata

  • Chiavi di accesso, chiavi API e password a rotazione

  • Eliminazione delle credenziali divulgate e delle informazioni sensibili

AMS vi incoraggia a prendere in considerazione il tipo di strategie di contenimento per ogni tipo di incidente grave che rientra nella vostra propensione al rischio, con criteri chiaramente documentati per facilitare il processo decisionale in caso di incidente. I criteri per determinare la strategia appropriata includono:

  • Potenziali danni alle risorse

  • Conservazione delle prove

  • Indisponibilità del servizio (ad esempio, connettività di rete, servizi forniti a parti esterne)

  • Tempo e risorse necessari per implementare la strategia

  • Efficacia della strategia (ad esempio, contenimento parziale, contenimento totale)

  • Permanenza della soluzione (ad esempio, decisioni relative a porte unidirezionali o porte bidirezionali)

  • Durata della soluzione (ad esempio, soluzione alternativa di emergenza da rimuovere in quattro ore, soluzione temporanea da rimuovere in due settimane, soluzione permanente).

  • Applica controlli di sicurezza attivabili per ridurre il rischio e concedi il tempo necessario per definire e implementare un contenimento più efficace.

La velocità di contenimento è fondamentale, AMS consiglia un approccio graduale per ottenere un contenimento efficiente ed efficace attraverso strategie a breve e lungo termine.

Utilizzate questa guida per prendere in considerazione la vostra strategia di contenimento che prevede diverse tecniche in base al tipo di risorsa.

  • Strategia di contenimento

    • AMS può identificare la portata dell'incidente di sicurezza?

      • In caso affermativo, identifica tutte le risorse (utenti, sistemi, risorse).

      • In caso negativo, esaminate parallelamente all'esecuzione del passaggio successivo sulle risorse identificate.

    • La risorsa può essere isolata?

      • In caso affermativo, procedi a isolare le risorse interessate.

      • In caso negativo, collabora con i proprietari e i gestori del sistema per determinare le ulteriori azioni necessarie per contenere il problema.

    • Tutte le risorse interessate sono isolate dalle risorse non interessate?

      • In caso affermativo, procedi con il passaggio successivo.

      • In caso negativo, continuate a isolare le risorse interessate fino a raggiungere un contenimento a breve termine per evitare che l'incidente si aggravi ulteriormente.

  • Backup del sistema

    • Sono state create copie di backup dei sistemi interessati per ulteriori analisi?

    • Le copie forensi sono crittografate e archiviate in un luogo sicuro?

      • In caso affermativo, procedi con il passaggio successivo.

      • In caso negativo, crittografa le immagini forensi, quindi conservale in un luogo sicuro per evitare utilizzi accidentali, danni e manomissioni.