View a markdown version of this page

Runbook - Guida sulla risposta agli incidenti di sicurezza di AWS
Creazione di runbookNozioni di base

Runbook

Quando viene rilevata un'anomalia di sicurezza, il contenimento dell'evento e il ritorno a uno stato valido sono elementi importanti di un piano di risposta. Ad esempio, se l'anomalia si è verificata a causa di un'errata configurazione della sicurezza, la correzione potrebbe essere semplice come rimuovere la varianza attraverso una ridistribuzione delle risorse con la configurazione corretta. Per fare ciò, dovrai pianificare in anticipo e definire le procedure di risposta alla sicurezza, che sono spesso chiamate runbook.

Un runbook è la forma documentata delle procedure di un'organizzazione per lo svolgimento di un'attività o di una serie di attività. Questa documentazione viene di solito archiviata in un sistema digitale interno o su carta stampata. Al momento potresti avere runbook di risposta agli incidenti o potrebbe essere necessario crearli per essere conformi a un framework di garanzia della sicurezza. Tuttavia, quando segui manualmente i runbook scritti, aumenti la possibilità di commettere errori. Ti consigliamo invece di automatizzare tutte le attività ripetibili. L'automazione libera il team di risposta dalle attività comuni e lo rende disponibile per attività più importanti, come la correlazione di eventi, la pratica nelle simulazioni, l'elaborazione di nuove procedure di risposta, l'esecuzione di ricerche, lo sviluppo di nuove competenze e il test o la creazione di nuovi strumenti. Tuttavia, prima di poter scomporre le attività in logica programmabile e iterare verso una corretta automazione, è necessario iniziare scrivendo un runbook.

Creazione di runbook

Per creare runbook per il cloud, ti consigliamo di concentrarti prima sugli avvisi che generi attualmente. Se si genera un avviso, è importante esaminarlo. Inizia definendo le descrizioni dei processi manuali che esegui. Successivamente, testa i processi ed esegui l'iterazione sul modello runbook per migliorare la logica di base della risposta. Determina quali sono le eccezioni e quali sono le risoluzioni alternative per tali scenari. Ad esempio, in un ambiente di sviluppo, potresti voler terminare un'istanza Amazon EC2 configurata in modo errato. Tuttavia, se lo stesso evento si è verificato in un ambiente di produzione, invece di terminare l'istanza puoi arrestare l'istanza e verificare con le parti interessate che i dati critici non vadano persi e che l'interruzione sia accettabile.

Dopo aver determinato la soluzione migliore, puoi scomporre la logica in una soluzione basata su codice, che può essere utilizzata come strumento da molti soccorritori per automatizzare la risposta e rimuovere la varianza o le congetture da parte del team di risposta. Questo accelera il ciclo di vita di una risposta. L'obiettivo successivo è abilitare questo codice in modo che sia completamente automatizzato e che possa essere richiamato dagli avvisi o dagli eventi stessi, piuttosto che da un addetto alle risposte, per creare una risposta basata sugli eventi.

Nozioni di base

Se non sai da dove iniziare, considera di iniziare con gli avvisi che potrebbero essere generati da AWS Trusted Advisor, le best practice di sicurezza fondamentali di AWS Security Hub e Regole di AWS Config (tra cui ilrepository Github Regole di AWS Config). Quindi, concentrati sugli eventi generati dai servizi che descriveranno i sistemi che ti interessano.

Amazon GuardDuty e Access Analyzer descrivono molti degli ambiti che un'applicazione utilizzerà in AWS, motivo per cui sono generalmente suggeriti; tuttavia, Amazon Inspector e Amazon Macie hanno usi specifici per coloro che hanno problemi di dati e di endpoint. Le informazioni sui risultati di Amazon GuardDuty sono disponibili nella Guida per l'utente di Amazon GuardDuty. I risultati di Access Analyzer sono disponibili nella Guida per l'utente di Amazon Access Analyzer. I risultati di Macie sono disponibili nella Guida per l'utente di Amazon Macie. I risultati di Amazon Inspector sono disponibili nella Guida per l'utente di Amazon Inspector. Security Hub ti offre la possibilità di unificare tali risultati in un'unica posizione e reagire ad essi di concerto con una bassa latenza, motivo per cui viene suggerito come posizione centrale per la correzione.

Tutti i servizi descritti in precedenza inviano notifiche tramite Amazon CloudWatch Events ogni volta che si verificano modifiche nei risultati o negli avvisi, inclusi gli avvisi appena generati e gli aggiornamenti degli avvisi esistenti. È possibile impostare le regole di Amazon CloudWatch Events per attivare funzioni AWS Lambda per eseguire una risposta basata sugli eventi. Tuttavia, la possibilità di creare informazioni dettagliate personalizzate e aggiungere i propri risultati dall'ambito dell'applicazione si aggiunge ai motivi importanti per utilizzare invece Security Hub. Per ulteriori informazioni, consulta la sezione Risposta basata sugli eventi.