Resumo dos itens de preparação - Guia do usuário do AWS Security Incident Response

Resumo dos itens de preparação

Uma preparação completa para responder a eventos de segurança é essencial para uma resposta a incidentes eficaz e em tempo hábil. A preparação para a resposta a incidentes envolve pessoas, processos e tecnologia. Todos esses três domínios têm igual importância no contexto da preparação. Você deve preparar e aprimorar seu programa de resposta a incidentes considerando todos os três domínios.

A Tabela 2 apresenta um resumo dos itens de preparação detalhados nesta seção.

Tabela 2: itens de preparação para a resposta a incidentes

Domínio Item de preparação Itens de ação
Pessoas Definir atividades a serem atribuídas e responsabilidades.

  • Identificar as partes interessadas relevantes na resposta a incidentes.

  • Desenvolver um quadro que compreende o responsável, a autoridade, o consultado e o informado (RACI) para um incidente.

Pessoas Treinar a equipe de resposta a incidentes na AWS.

  • Treinar as partes interessadas da resposta a incidentes nos fundamentos da AWS.

  • Treinar as partes interessadas da resposta a incidentes nos serviços de segurança e de monitoramento da AWS.

  • Treinar as partes interessadas da resposta a incidentes em seu ambiente da AWS e na forma como o ambiente foi arquitetado.

Pessoas Compreender as opções de suporte da AWS.

  • Compreender as diferenças entre o suporte da AWS, a Equipe de Resposta a Incidentes do Cliente (CIRT, na sigla em inglês), a equipe de resposta a ataques de DDoS (DRT, na sigla em inglês) e o AMS.

  • Compreender o fluxo de triagem e de encaminhamento para entrar em contato com a CIRT durante um evento de segurança ativo, se necessário.

Processos Desenvolver um plano de resposta a incidentes.

  • Criar um documento de alto nível que defina o programa e a estratégia de resposta a incidentes.

  • Incluir no plano de resposta a incidentes uma matriz RACI, um plano de comunicação, as definições de incidentes e as fases da resposta a incidentes.

Processos Documentar e centralizar os diagramas de arquitetura.

  • Documentar os detalhes sobre como seu ambiente da AWS está configurado, abrangendo a estrutura de contas, o uso de serviços, os padrões de IAM e outras funcionalidades essenciais da configuração da AWS.

  • Desenvolver diagramas de arquitetura das suas arquiteturas em nuvem.

Processos Desenvolver planos de ação de resposta a incidentes.

  • Criar um modelo para a estrutura dos seus planos de ação.

  • Desenvolver planos de ação para os eventos de segurança esperados.

  • Desenvolver planos de ação para os alertas de segurança conhecidos, como as descobertas do GuardDuty.

Processos Executar simulações de forma periódica.

  • Desenvolver uma frequência sistemática para a execução de simulações de incidentes.

  • Usar os resultados e as lições aprendidas para realizar a iteração do seu programa de resposta a incidentes.

Tecnologia Desenvolver uma estrutura de contas da AWS.

  • Planejar uma estrutura de contas que defina como as workloads serão separadas por contas da AWS.

  • Criar uma unidade organizacional (OU) de segurança com uma conta para ferramentas de segurança e arquivamento de log.

  • Criar uma OU de análise forense com contas de análise forense específicas para cada região em que você opera.

Tecnologia Desenvolver e implementar uma estratégia de marcação que auxilie os responsáveis pela resposta a incidentes na identificação da propriedade e do contexto para as descobertas.

  • Planejar uma estratégia para a marcação e definir quais etiquetas devem ser associadas aos recursos da AWS.

  • Implementar e aplicar a estratégia de marcação.

Tecnologia Atualizar as informações de contato das contas da AWS.

  • Verificar se as contas da AWS contam com informações de contato cadastradas.

  • Criar listas de distribuição de e-mail para as informações de contato, a fim de remover pontos únicos de falha.

  • Proteger as contas de e-mail que estão associadas às informações de contato das contas da AWS.

Tecnologia Preparar o acesso às contas da AWS.

  • Definir os níveis de acesso necessários para que os responsáveis pela resposta a incidentes possam atuar adequadamente a um incidente.

  • Implementar, testar e monitorar os acessos definidos.

Tecnologia Compreender o cenário de ameaças.

  • Desenvolver modelos de ameaças para seu ambiente e para suas aplicações.

  • Integrar e usar a inteligência de ameaças cibernéticas.

Tecnologia Selecionar e configurar os logs.

  • Identificar e habilitar os logs relevantes para as investigações.

  • Selecionar o local de armazenamento dos log.

  • Identificar e implementar políticas de retenção de log.

  • Desenvolver um mecanismo para recuperação e consulta de logs e de artefatos.

  • Usar os logs para geração de alertas.

Tecnologia Desenvolver funcionalidades de análise forense.

  • Identificar os artefatos necessários para a coleta forense.

  • Capturar e proteger backups dos sistemas essenciais.

  • Definir mecanismos para análise dos logs e dos artefatos identificados.

  • Implementar a automação para a análise forense.

Uma abordagem iterativa é recomendada para a preparação da resposta a incidentes. Como não é possível implementar todos os itens de preparação de imediato, é importante estabelecer um plano que comece em pequena escala e evolua gradualmente, com melhorias contínuas nas funcionalidades de resposta a incidentes.