Risposta agli eventi di malware - Guida per l'utente avanzato di AMS
Fase A: RilevaFase B: analisiFase C: contenere ed eliminareSegnalazione successiva all'incidente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risposta agli eventi di malware

Le EC2 istanze Amazon vengono utilizzate per ospitare una varietà di carichi di lavoro, tra cui software di terze parti e software sviluppato su misura distribuito dai team applicativi all'interno delle organizzazioni. AMS fornisce e ti incoraggia a distribuire i tuoi carichi di lavoro su immagini che vengono patchate e gestite su base continuativa da AMS.

Durante il funzionamento delle istanze, AMS monitora le anomalie nel comportamento o nell'attività attraverso una serie di controlli di rilevamento della sicurezza, tra cui Amazon, Endpoint Protection GuardDuty, Network Traffic e feed interni di Amazon sulle minacce.

I clienti AMS con il modello operativo AMS Advanced installano automaticamente il client di monitoraggio della sicurezza degli endpoint (EPS) sulle risorse assegnate. Ciò garantisce che le risorse siano monitorate e supportate 24 ore su 24, 7 giorni su 7, inclusa la creazione di un incidente di sicurezza quando viene rilevato un evento.

AMS monitora anche Malware GuardDuty Findings. Questi sono disponibili sia su AMS Advanced che su AMS Accelerate, se abilitati. Per ulteriori informazioni, consulta GuardDuty la sezione Protezione da malware in Amazon.

Nota

Se hai optato per Bring Your Own EPS, la procedura di risposta agli incidenti è diversa da quella descritta in questa pagina. Per ulteriori informazioni, consulta la documentazione di riferimento.

Quando viene rilevato un malware, viene creato un incidente e l'utente riceve una notifica dell'evento. Questa notifica è seguita da tutte le attività di riparazione che si sono verificate. AMS Operations indaga, esegue la raccolta, il triage e l'analisi dei dati, quindi esegue attività di contenimento secondo le indicazioni del cliente, seguite dall'analisi post-evento.

Fase A: Rilevamento

AMS monitora gli eventi sulle istanze con il monitoraggio di una soluzione GuardDuty di sicurezza degli endpoint. AMS determina le attività di arricchimento e valutazione appropriate per aiutarvi a prendere decisioni di contenimento o di accettazione del rischio in base al tipo di scoperta o di avviso.

La raccolta dei dati viene eseguita in base al tipo di risultato. La raccolta dei dati prevede l'interrogazione di più fonti di dati sia all'interno che all'esterno dell'account interessato per creare un quadro dell'attività osservata o delle configurazioni che destano preoccupazione.

AMS esegue la correlazione dei risultati con altri allarmi e avvisi o telemetria provenienti da qualsiasi account interessato o piattaforma AMS di intelligence sulle minacce.

Fase B: analisi

Una volta raccolti, i dati vengono analizzati per identificare eventuali attività o indicatori di preoccupazione. Durante questa fase dell'indagine, AMS collabora con voi per integrare le conoscenze aziendali e di settore relative alle istanze e ai carichi di lavoro, al fine di aiutarvi a capire cosa ci si aspetta da ciò che è fuori dall'ordinario.

Alcuni esempi delle informazioni fornite durante l'indagine a supporto dei controlli interni includono:

  • Informazioni sull'account: su quale account è stata osservata l'attività del malware?

  • Dettagli sull'istanza: Quali istanze sono implicate negli eventi relativi al malware?

  • Timestamp dell'evento: quando è scattato l'avviso?

  • Informazioni sul carico di lavoro: cosa è in esecuzione sull'istanza?

  • Dettagli sul malware, se pertinenti: famiglie di malware e informazioni open source sul malware.

  • Dettagli sugli utenti o sui ruoli: quali utenti o ruoli sono interessati e coinvolti nell'attività?

  • Record delle attività: quali attività vengono registrate sull'istanza? Questi sono sotto forma di CloudWatch eventi ed eventi di sistema generati dall'istanza. Capire come leggere questi registri ti aiuterà nelle indagini

  • Attività di rete: quali endpoint si connettono all'istanza, a cosa si connette l'istanza e cos'è l'analisi del traffico?

È consigliabile essere pronti a ricevere informazioni sulle indagini e predisporre un piano su come contattare i punti di contatto appropriati per account, istanze e carichi di lavoro all'interno dell'organizzazione. Comprendere la topologia di rete e la connessione prevista può aiutare ad accelerare l'analisi dell'impatto. Anche la conoscenza dei test di penetrazione pianificati nell'ambiente e delle recenti implementazioni eseguite dai proprietari delle applicazioni può accelerare le indagini.

Se si determina che l'attività è pianificata e autorizzata, l'incidente viene aggiornato e l'indagine termina. Se il compromesso viene confermato, tu e AMS stabilite il piano di contenimento appropriato.

Fase C: Contenere ed eliminare

AMS collabora con te per determinare le attività di contenimento appropriate sulla base dei dati raccolti e delle informazioni note. Le opzioni di contenimento includono, a titolo esemplificativo ma non esaustivo:

  • Conservazione dei dati tramite istantanee

  • Modifica delle regole di rete per limitare il traffico in entrata o in uscita dalle istanze

  • Modifica delle policy relative agli utenti e ai ruoli di SCP, IAM per limitare l'accesso

  • Chiusura, sospensione o disattivazione delle istanze

  • Interruzione di qualsiasi connessione persistente

  • Rotazione delle credenziali/chiavi appropriate

Se scegli di eseguire l'attività di eradicazione sull'istanza, AMS ti aiuta a raggiungere tale obiettivo. Le opzioni includono, a titolo esemplificativo ma non esaustivo:

  • Rimozione di qualsiasi software indesiderato

  • Ricostruzione dell'istanza da un'immagine pulita e completamente patchata e ridistribuzione delle applicazioni e della configurazione

  • Ripristino dell'istanza da un backup precedente

  • Distribuzione di applicazioni e servizi su un'altra istanza all'interno dell'account che potrebbe essere adatta a ospitare i carichi di lavoro.

È importante determinare in che modo il malware è stato distribuito ed eseguito sull'istanza prima del ripristino del servizio per assicurarsi che vengano applicati eventuali controlli aggiuntivi per prevenire la ricomparsa del malware sull'istanza. AMS fornisce approfondimenti o informazioni aggiuntivi ai tuoi partner o team forensi, se necessario per supportare l'analisi forense.

A questo punto, collabori con AMS Operations per le attività di ripristino. AMS collabora a stretto contatto con te per ridurre al minimo le interruzioni dei carichi di lavoro e proteggere le istanze.

Rapporto successivo all'incidente

Se necessario, AMS avvia il processo di revisione delle indagini per identificare le lezioni apprese. Nell'ambito del completamento di un COE, AMS vi comunica i risultati pertinenti per aiutarvi a migliorare il processo di risposta agli incidenti.

AMS documenta i dettagli finali dell'indagine, raccoglie i parametri appropriati e segnala l'incidente ai team interni di AMS che richiedono informazioni, compresi il CSDM e la CA assegnati.