Erradicação - AWS Security Incident ResponseGuia do usuário do

Erradicação

A erradicação, no contexto da resposta a incidentes de segurança, corresponde à remoção de recursos suspeitos ou não autorizados em um esforço para retornar a conta a um estado seguro conhecido. A estratégia de erradicação depende de diversos fatores, que, por sua vez, dependem dos requisitos de negócios da sua organização.

O guia NIST SP 800-61 Computer Security Incident Handling Guide estabelece diversas etapas para a erradicação:

  1. Identificar e mitigar todas as vulnerabilidades que foram exploradas.

  2. Remover malwares, materiais impróprios e outros componentes.

  3. Caso mais hosts afetados sejam descobertos (por exemplo, novas infecções por malware), repetir as etapas de detecção e de análise para identificar todos os outros hosts afetados, e, em seguida, realizar a contenção e a erradicação do incidente para esses hosts.

Para os recursos da AWS, essas etapas podem ser ainda mais aprimoradas por meio dos eventos detectados e analisados em logs disponíveis ou das ferramentas automatizadas, como o CloudWatch Logs e o Amazon GuardDuty. Esses eventos devem ser a base para determinar quais remediações devem ser realizadas para restaurar adequadamente o ambiente a um estado seguro conhecido.

A primeira etapa da erradicação consiste em determinar quais recursos foram afetados na sua conta da AWS. Isso é realizado por meio da análise das fontes de dados de log, dos recursos e das ferramentas automatizadas disponíveis.

  • Identifique ações não autorizadas executadas pelas identidades do IAM na sua conta.

  • Identifique acessos ou alterações não autorizadas na sua conta.

  • Identifique a criação de recursos ou de usuários do IAM não autorizadas.

  • Identifique sistemas ou recursos com alterações não autorizadas.

Após identificar a lista de recursos, você deve avaliar cada um dos recursos para determinar o impacto nos negócios caso o recurso seja excluído ou restaurado. Para exemplificar, se um servidor web está hospedando sua aplicação de negócios e a exclusão dele causaria tempo de inatividade, então você deve considerar recuperar o recurso de backups seguros verificados ou inicializar novamente o sistema usando uma AMI íntegra antes de excluir o servidor impactado.

Após concluir a análise de impacto nos negócios, usando os eventos da análise de logs, você deve acessar as contas e realizar as remediações apropriadas, tais como:

  • Alterar ou excluir as chaves, pois essa etapa remove a capacidade do agente de continuar realizando atividades dentro da conta.

  • Alterar as credenciais de usuários do IAM que possam estar não autorizadas.

  • Excluir recursos não reconhecidos ou não autorizados.

    Importante

    Se você tiver a necessidade de manter recursos para sua investigação, considere fazer um backup desses recursos. Por exemplo, se for necessário reter uma instância do Amazon EC2 por razões regulatórias, de conformidade ou legais, crie um snapshot do Amazon EBS antes de remover a instância.

  • No caso de infecções por malware, talvez seja necessário entrar em contato com um parceiro da AWS Partner ou com outro fornecedor. A AWS não disponibiliza ferramentas nativas para análise ou remoção de malware. No entanto, se você estiver usando o módulo Proteção contra Malware do GuardDuty para o Amazon EBS, recomendações podem estar disponíveis para as descobertas fornecidas.

Após erradicar os recursos afetados identificados, a AWS recomenda que você realize uma análise de segurança da sua conta. Isso pode ser feito usando regras do AWS Config ou soluções de código aberto, como Prowler e ScoutSuite, ou por meio de outros fornecedores. Você também deve considerar a realização de verificações de vulnerabilidade em seus recursos voltados para o público e expostos à internet para avaliar o risco residual.

A erradicação consiste em uma das etapas do processo de resposta a incidentes e pode ser manual ou automatizada, dependendo do incidente e dos recursos afetados. A estratégia geral deve estar alinhada com as políticas de segurança e com as necessidades de negócios de uma organização, e verificar se os efeitos negativos são mitigados à medida que recursos ou configurações inapropriados são removidos.