As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Contenção
A abordagem da AMS à contenção é uma parceria com você. Você entende seus negócios e os impactos na carga de trabalho que podem ocorrer com atividades de contenção, como isolamento de rede, desprovisionamento de usuários ou funções do IAM, reconstrução de instâncias e assim por diante.
Uma parte essencial da contenção é a tomada de decisões. Por exemplo, desligue um sistema, isole um recurso da rede ou desative o acesso ou encerre sessões. Essas decisões são mais fáceis de tomar se houver estratégias e procedimentos predeterminados para conter o incidente. O AMS fornece a estratégia de contenção e, em seguida, implementa a solução depois de considerar o risco envolvido na implementação das ações de contenção.
Há diferentes opções de contenção, dependendo dos recursos em análise. A AMS espera que vários tipos de contenção sejam implantados simultaneamente durante uma investigação de incidente. Alguns desses exemplos incluem:
Aplique regras de proteção para bloquear tráfego não autorizado (grupo de segurança, NACL, regras WAF, regras de SCP, negação de listagem, configuração da ação de assinatura para quarentena ou bloqueio)
Isolamento de recursos
Isolamento de rede
Desabilitando usuários, funções e políticas do IAM
Modificando/reduzindo o usuário e o privilégio de função do IAM
Encerrando/Suspendo/ Excluindo recursos computacionais
Restringindo o acesso público ao recurso afetado
Chaves de acesso, chaves de API e senhas rotativas
-
Limpando credenciais divulgadas e informações confidenciais
A AMS incentiva você a considerar o tipo de estratégia de contenção para cada tipo de incidente importante que esteja dentro de seu apetite pelo risco, com critérios claramente documentados para ajudar na tomada de decisões no caso de um incidente. Os critérios para determinar a estratégia apropriada incluem:
Potenciais danos aos recursos.
Preservação de evidências
Indisponibilidade de serviços (por exemplo, conectividade de rede e serviços fornecidos para entidades externas).
Tempo e recursos necessários para implementar a estratégia.
Eficácia da estratégia (por exemplo, contenção parcial, contenção total)
Permanência da solução (por exemplo, decisões de porta unidirecional versus decisões de porta bidirecional)
Duração da solução (por exemplo, solução alternativa de emergência a ser removida em quatro horas, solução temporária a ser removida em duas semanas, solução permanente).
Aplique controles de segurança que você possa ativar para reduzir o risco e ter tempo para definir e implementar uma contenção mais eficaz.
A velocidade da contenção é fundamental. A AMS recomenda uma abordagem em etapas para obter uma contenção eficiente e eficaz, elaborando estratégias de abordagens de curto e longo prazo.
Use este guia para considerar sua estratégia de contenção que envolve técnicas diferentes com base no tipo de recurso.
Estratégia de contenção
O AMS pode identificar o escopo do incidente de segurança?
Em caso afirmativo, realize a identificação de todos os recursos afetados (usuários, sistemas e recursos).
Em caso negativo, realize a investigação simultaneamente à execução da próxima etapa nos recursos previamente identificados.
O recurso pode ser isolado?
Em caso afirmativo, prossiga com o isolamento dos recursos afetados.
Em caso negativo, colabore com os responsáveis pelos sistemas e gerentes para determinar as ações necessárias para a contenção do problema.
Todos os recursos afetados estão isolados dos recursos que não foram afetados?
Em caso afirmativo, prossiga para a próxima etapa.
Se não, continue isolando os recursos afetados até que a contenção de curto prazo seja realizada para evitar que o incidente se agrave ainda mais.
Backup do sistema
Foram criadas cópias de backup dos sistemas afetados para análises posteriores?
As cópias para análises forenses estão devidamente criptografadas e armazenadas em um local seguro?
Em caso afirmativo, prossiga para a próxima etapa.
Em caso negativo, criptografe as imagens para análises forenses e, em seguida, armazene-as em um local seguro para evitar uso acidental, danos e adulterações.
