# Recuperação A recuperação é o processo de restaurar sistemas a um estado seguro conhecido, validar que os backups estão seguros ou não foram afetados pelo incidente antes da restauração, realizar testes para verificar se os sistemas estão funcionando corretamente após a restauração e abordar as vulnerabilidades associadas ao evento de segurança. A ordem de recuperação depende dos requisitos da sua organização. Como parte do processo de recuperação, você deve realizar uma análise de impacto nos negócios para determinar, no mínimo: + Prioridades de negócios ou de dependências + Plano de restauração + Autenticação e autorização O guia NIST SP 800-61 Computer Security Incident Handling Guide estabelece diversas etapas para a recuperação de sistemas, incluindo: + Restauração de sistemas usando backups íntegros. + Verifique se os backups são avaliados antes da restauração para os sistemas, a fim de garantir que a infecção não esteja presente e evitar um ressurgimento do evento de segurança. Os backups devem ser avaliados regularmente como parte dos testes de recuperação de desastres, para verificar se o mecanismo de backup está funcionando corretamente e se a integridade dos dados atende aos objetivos de ponto de recuperação. + Se possível, use backups anteriores ao primeiro carimbo de data e horário do evento identificado como parte da análise da causa-raiz. + Reconstrução de sistemas do zero, o que inclui a reimplantações a partir de uma fonte confiável usando automação, às vezes em uma nova conta da AWS. + Substituição de arquivos comprometidos por versões íntegras. Você deve ter extremo cuidado ao executar essa ação. É necessário ter certeza absoluta de que o arquivo que está recuperando é reconhecidamente seguro e não foi afetado pelo incidente. + Instalação de patches. + Alteração de senhas. + Isso inclui senhas para entidades principais do IAM que podem ter sido usadas indevidamente. + Se possível, recomendamos usar perfis para entidades principais do IAM e para federação como parte de uma estratégia de privilégio mínimo. + Reforço da segurança do perímetro da rede (por exemplo, com conjuntos de regras de firewall e listas de controle de acesso de roteadores de borda). Depois que os recursos forem recuperados, é importante registrar as lições aprendidas para atualizar as políticas, os procedimentos e os guias de resposta a incidentes. Em resumo, é imprescindível implementar um processo de recuperação que facilite o retorno às operações seguras conhecidas. A recuperação pode demorar um longo tempo e requerer uma ligação estreita com as estratégias de contenção para equilibrar o impacto nos negócios com o risco de reinfecção. Os procedimentos de recuperação devem incluir etapas para a restauração de recursos, serviços e entidades principais do IAM, e a realização de uma análise de segurança da conta para avaliar o risco residual.