Ambiti degli incidenti

Vi sono tre ambiti tra le responsabilità del cliente, dove potrebbero verificarsi incidenti di sicurezza: servizio, infrastruttura e applicazione. La differenza tra gli ambiti è correlata agli strumenti utilizzati in risposta. Considera questi ambiti:

Ambito di servizio: incidenti nell'ambito del servizio influiscono su un account di un cliente AWS, sulle autorizzazioni IAM, sui metadati delle risorse, sulla fatturazione, e su altre aree. Un evento nell'ambito del servizio è un evento a cui si risponde solo con i meccanismi API AWS, oppure dove si hanno cause associate alla configurazione o alle autorizzazioni della risorsa, e potrebbe avere una registrazione correlata orientata al servizio.
Ambito dell'infrastruttura: gli incidenti nell'ambito dell'infrastruttura includono dati o attività correlate alla rete, come il traffico alle istanze Amazon EC2 all'interno del VPC, i processi e i dati nelle istanze Amazon EC2 e altre aree, come i container o altri servizi futuri. La risposta agli eventi dell'ambito dell'infrastruttura spesso coinvolge il recupero, il ripristino o l'acquisizione di dati relativi all'incidente per l'analisi forense. Probabilmente include l'interazione con il sistema operativo di un'istanza e, in alcuni casi, potrebbe anche coinvolgere i meccanismi API AWS.
Ambito dell'applicazione: gli incidenti nell'ambito dell'applicazione avvengono nel codice dell'applicazione o nel software implementato ai servizi o all'infrastruttura. Questo ambito dovrebbe essere incluso nei runbook di rilevamento e risposta alle minacce del cloud, e potrebbe incorporare risposte simili a quelle dell'ambito dell'infrastruttura. Con un'architettura delle applicazioni appropriata e accurata, puoi gestire questo ambito con gli strumenti cloud utilizzando strumenti digitali forensi automatizzati, il ripristino e l'implementazione.

In questi ambiti, devi considerare gli attori che potrebbero agire contro l'account, le risorse o i dati. Sia interno che esterno, utilizza un framework di rischio per determinare quali sono i rischi specifici per l'organizzazione e preparati di conseguenza.

Nell'ambito del servizio, operi per raggiungere i tuoi obiettivi esclusivamente con le API di AWS. Per esempio, la gestione di un incidente di divulgazione di dati da un bucket Simple Storage Service (Amazon S3) coinvolge le chiamate API per recuperare la policy del bucket, analizzando i registri di accesso S3 e possibilmente esaminando i registri di AWS CloudTrail. In questo esempio, è improbabile che la tua indagine coinvolga gli strumenti per l'analisi forense dei dati o gli strumenti di analisi del traffico di rete.

Nell'ambito dell'infrastruttura, puoi utilizzare una combinazione di API AWS e un software conosciuto di disciplina digitale forense/risposta agli incidenti (DFIR), all'interno del sistema operativo di una workstation, come un'istanza Amazon EC2 che hai preparato per l'attività IR. Gli incidenti dell'ambito dell'infrastruttura potrebbero coinvolgere l'analisi delle acquisizioni di pacchetti di rete, i blocchi di disco in un volume Amazon Elastic Block Store (Amazon EBS), o la memoria volatile acquisita da un'istanza.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Incidenti di sicurezza del cloud

Indicatori degli eventi di sicurezza nel cloud