Resposta a eventos de malware - Guia do usuário avançado do AMS
Fase A: DetectarFase B: AnalisarFase C: Conter e erradicarRelatório pós-incidente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Resposta a eventos de malware

As EC2 instâncias da Amazon são usadas para hospedar uma variedade de cargas de trabalho, incluindo software de terceiros e software desenvolvido sob medida, implantado por equipes de aplicativos dentro das organizações. O AMS fornece e incentiva você a implantar suas cargas de trabalho em imagens que são corrigidas e mantidas continuamente pelo AMS.

Durante a operação das instâncias, o AMS monitora anomalias no comportamento ou na atividade por meio de uma variedade de controles de detecção de segurança, incluindo Amazon, Endpoint Protection GuardDuty, Network Traffic e feeds internos da Amazon Threat Intelligence.

Os clientes do AMS com o modelo operacional AMS Advanced têm automaticamente o cliente de monitoramento de segurança de terminais (EPS) instalado nos recursos provisionados. Isso garante que os recursos sejam monitorados e suportados 24 horas por dia, 7 dias por semana, incluindo a criação de um incidente de segurança quando um evento é detectado.

O AMS também monitora as descobertas de GuardDuty malware. Eles estão disponíveis no AMS Advanced e no AMS Accelerate, se habilitados. Consulte Proteção contra malware na Amazon GuardDuty para obter mais informações.

nota

Se você optou por Traga seu próprio EPS, o processo de resposta a incidentes é diferente do descrito nesta página. Para obter mais informações, consulte a documentação referenciada.

Quando um malware é detectado, um incidente é criado e você é notificado sobre o evento. Essa notificação é seguida por todas as atividades de remediação que ocorreram. O AMS Operations investiga, realiza coleta, triagem e análise de dados e, em seguida, realiza atividades de contenção sob sua direção, seguidas pela análise pós-evento.

Fase A: Detectar

O AMS monitora eventos em instâncias com GuardDuty monitoramento de soluções de segurança de terminais. O AMS determina as atividades apropriadas de enriquecimento e triagem para ajudá-lo a tomar decisões de contenção ou aceitação de riscos com base no tipo de descoberta ou alerta.

A coleta de dados é realizada com base no tipo de descoberta. A coleta de dados envolve a consulta de várias fontes de dados dentro e fora da conta afetada para criar uma imagem da atividade observada ou das configurações preocupantes.

O AMS realiza a correlação da descoberta com quaisquer outros alarmes e alertas ou telemetria de quaisquer contas afetadas ou plataformas de inteligência de ameaças da AMS.

Fase B: Analisar

Depois que os dados são coletados, eles são analisados para identificar qualquer atividade ou indicador de preocupação. Durante essa fase da investigação, a AMS faz parceria com você para integrar o conhecimento comercial e de domínio das instâncias e cargas de trabalho para ajudar a entender o que é esperado e o que está fora do comum.

Alguns exemplos das informações fornecidas durante a investigação para apoiar as verificações internas incluem:

  • Informações da conta: em qual conta a atividade do malware foi observada?

  • Detalhes da instância: quais instâncias estão envolvidas nos eventos de malware?

  • Data e hora do evento: quando o alerta foi acionado?

  • Informações sobre a carga de trabalho: o que está sendo executado na instância?

  • Detalhes do malware, se relevante: famílias de malware e informações de código aberto sobre o malware.

  • Detalhes de usuários ou funções: quais usuários ou funções são afetados e envolvidos na atividade?

  • Registros de atividades: quais atividades são registradas na instância? Eles estão na forma de CloudWatch eventos e eventos do sistema da instância. Entender como ler esses registros ajudará você na investigação.

  • Atividade de rede: quais endpoints estão se conectando à instância, a que a instância está se conectando e qual é a análise de tráfego?

É uma prática recomendada estar preparado para receber informações de investigação e ter um plano sobre como entrar em contato com os pontos de contato apropriados para contas, instâncias e cargas de trabalho em sua organização. Compreender a topologia da rede e a conexão esperada pode ajudar a acelerar a análise de impacto. O conhecimento dos testes de penetração planejados no ambiente e das implantações recentes realizadas pelos proprietários de aplicativos também podem acelerar a investigação.

Se você determinar que a atividade foi planejada e autorizada, o incidente será atualizado e a investigação será encerrada. Se o comprometimento for confirmado, você e a AMS determinarão o plano de contenção apropriado.

Fase C: Conter e erradicar

A AMS faz parceria com você para determinar as atividades de contenção apropriadas com base nos dados coletados e nas informações conhecidas. As opções de contenção incluem, mas não estão limitadas a:

  • Preservando dados por meio de instantâneos

  • Modificação das regras de rede para limitar o tráfego de entrada ou saída de instâncias

  • Modificando as políticas de usuário e função do SCP, do IAM para limitar o acesso

  • Encerramento, suspensão ou desativação de instâncias

  • Encerrando todas as conexões persistentes

  • Rotação de credenciais/chaves apropriadas

Se você optar por realizar atividades de erradicação contra a instância, o AMS o ajudará a conseguir isso. As opções incluem, mas não estão limitadas a:

  • Removendo qualquer software indesejado

  • Reconstruindo a instância a partir de uma imagem limpa e totalmente corrigida e reimplantando aplicativos e configurações

  • Restaurando a instância a partir de um backup anterior

  • Implantar aplicativos e serviços em outra instância da sua conta que possa ser adequada para hospedar as cargas de trabalho.

É importante determinar como o malware foi entregue e executado na instância antes da restauração do serviço para garantir que quaisquer controles adicionais sejam aplicados para evitar a recorrência do malware na instância. O AMS fornece insights ou informações adicionais aos seus parceiros ou equipes forenses, conforme necessário, para apoiar a perícia.

Neste ponto, você trabalha com o AMS Operations para as atividades de recuperação. O AMS trabalha em estreita colaboração com você para minimizar a interrupção das cargas de trabalho e proteger as instâncias.

Relatório pós-incidente

Conforme necessário, a AMS inicia o processo de revisão da investigação para identificar as lições aprendidas. Como parte da conclusão de um COE, o AMS comunica descobertas relevantes para ajudá-lo a melhorar seu processo de resposta a incidentes.

O AMS documenta os detalhes finais da investigação, coleta métricas apropriadas e relata o incidente às equipes internas do AMS que precisam de informações, incluindo seu CSDM e CA designados.