SEC10-BP02 Entwickeln von Vorfallmanagementplänen - Säule der Sicherheit

SEC10-BP02 Entwickeln von Vorfallmanagementplänen

Das erste Dokument, das für die Vorfallreaktion entwickelt werden muss, ist der Vorfallreaktionsplan. Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert.

Vorteile der Nutzung dieser bewährten Methode: Die Entwicklung durchdachter und klar definierter Prozesse zur Vorfallreaktion ist der Schlüssel zu einem erfolgreichen und skalierbaren Vorfallreaktionsprogramm. Wenn ein Sicherheitsereignis eintritt, können Ihnen klare Schritte und Workflows dabei helfen, rechtzeitig zu reagieren. Möglicherweise verfügen Sie bereits über Prozesse zur Vorfallreaktion. Unabhängig von Ihrem aktuellen Status ist es wichtig, Ihre Prozesse zur Vorfallreaktion regelmäßig zu aktualisieren, zu wiederholen und zu testen.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Ein Vorfallmanagementplan ist von entscheidender Bedeutung, um auf Sicherheitsvorfälle zu reagieren, sie einzudämmen und ihre potenziellen Folgen zu beheben. Ein Vorfallmanagementplan ist ein strukturierter Prozess für die Identifizierung und Behebung von Sicherheitsvorfällen sowie die zeitnahe Reaktion darauf.

In der Cloud gibt es viele der betrieblichen Rollen und Anforderungen, die auch für eine On-Premises-Umgebung typisch sind. Beim Erstellen eines Plans für das Vorfallmanagement ist es wichtig, Reaktions- und Wiederherstellungsstrategien zu entwickeln, die Ihren Anforderungen an geschäftliche Ergebnisse und Compliance optimal entsprechen. Wenn Sie beispielsweise Workloads in AWS ausführen, die in den USA FedRAMP-konform sind, sollten Sie die Empfehlungen im NIST SP 800-61 Computer Security Handling Guide befolgen. Ähnlich gilt bei der Ausführung von Workloads, die persönlich identifizierbare Informationen (PII) speichern, dass Sie diese schützen und auf Probleme im Zusammenhang mit Datenresidenz und Verwendung von Daten reagierren müssen.

Wenn Sie einen Vorfallmanagementplan für Ihre Workloads in AWS erstellen, beginnen Sie mit dem AWS-Modell der geteilten Verantwortung zum Aufbau eines durchdachten Verteidigungskonzepts für die Vorfallreaktion. In diesem Modell kümmert sich AWS um die Sicherheit der Cloud und Sie sind für die Sicherheit in der Cloud verantwortlich. Das bedeutet, dass Sie die Kontrolle behalten und für die Sicherheitskontrollen verantwortlich sind, für deren Implementierung Sie sich entscheiden. Der Leitfaden für AWS Security Incident Response enthält zentrale Konzepte und grundlegende Anleitungen für den Aufbau eines Cloud-basierten Vorfallmanagementplans.

Ein effektiver Vorfallmanagementplan muss kontinuierlich durchlaufen und stets an die Ziele Ihrer Cloud-Operationen angepasst werden. Erwägen Sie die Verwendung der nachfolgend erläuterten Implementierungspläne für die Erstellung und Weiterentwicklung Ihres Vorfallmanagementplans.

Implementierungsschritte

  1. Definieren Sie Rollen und Verantwortlichkeiten innerhalb Ihrer Organisation für den Umgang mit Sicherheitsereignissen. Daran sollten Vertreter verschiedener Bereiche beteiligt sein, darunter:

    • Personalabteilung (HR)

    • Führungsteam

    • Rechtsabteilung

    • Besitzer und Entwickler von Anwendungen (fachliche Experten)

  2. Beschreiben Sie klar, welche Personen bei einem Vorfall verantwortlich sind, Rechenschaft geben müssen, konsultiert werden müssen und informiert werden müssen (Responsibile, Accountable, Consulted, Informed, RACI). Erstellen Sie ein RACI-Diagramm, um eine schnelle und direkte Kommunikation zu unterstützen, und beschreiben Sie klar die Personen, die während der verschiedenen Phasen eines Ereignisses die Leitung haben.

  3. Binden Sie während eines Vorfalls Anwendungsbesitzer und Entwickler (fachliche Experten) ein, da sie wertvolle Informationen und Kontext bereitstellen können, um die Auswirkungen messen zu können. Entwickeln Sie Beziehungen zu diesen fachlichen Experten und üben Sie mit ihnen Szenarien für die Vorfallreaktion, bevor es zu einem tatsächlichen Vorfall kommt.

  4. Binden Sie vertrauenswürdige Partner oder externe Experten in das Untersuchungs- oder Reaktionsverfahren ein, da sie zusätzliche Kenntnisse und Perspektiven bereitstellen können.

  5. Passen Sie Ihre Pläne und Rollen für das Vorfallmanagement an lokale Vorschriften oder Compliance-Anforderungen an, denen Ihre Organisation unterliegt.

  6. Üben und testen Sie Ihre Pläne für die Vorfallreaktion regelmäßig und beziehen Sie alle definierten Rollen und Verantwortlichkeiten ein. Auf diese Weise können Sie den Prozess rationalisieren und sicherstellen, dass Sie koordiniert und effizient auf Sicherheitsvorfälle reagieren.

  7. Überprüfen und aktualisieren Sie Rollen, Verantwortlichkeiten und RACI-Diagramm regelmäßig oder bei Änderungen von Organisationsstruktur oder Anforderungen.

Die AWS-Reaktionsteams und der Support

  • AWS Support

    • AWS Support bietet eine Reihe an Plänen, die den Zugriff auf Tools und das Know-how für den Erfolg und den betriebsbereiten Zustand der AWS-Lösungen ermöglichen. Wenn Sie technischen Support und weitere Ressourcen benötigen, um Ihre AWS-Umgebung zu planen, bereitzustellen und zu optimieren, können Sie einen Supportplan auswählen, der am besten zu Ihrem AWS-Anwendungsfall passt.

    • Das Support-Center in der AWS Management Console (Anmeldung erforderlich) ist Ihre zentrale Anlaufstelle, um Unterstützung bei Problemen zu erhalten, die sich auf Ihre AWS-Ressourcen auswirken. Der Zugriff auf den AWS Support wird über AWS Identity and Access Management gesteuert. Weitere Informationen zum Zugriff auf AWS Support-Funktionen finden Sie unter Erste Schritte mit AWS Support.

  • AWS-Kundenvorfallreaktionsteam (CIRT)

    • Das AWS-Kundenvorfallreaktionsteam (CIRT) ist ein spezialisiertes globales, rund um die Uhr verfügbares AWS-Team, das Kunden bei aktiven Sicherheitsereignissen auf Kundenseite des AWS-Modells der geteilten Verantwortung unterstützt.

    • Wenn das AWS-CIRT Sie unterstützt, bietet es Hilfe bei der Fehlererkennung und Wiederherstellung eines aktiven Sicherheitsereignisses in AWS an. Sie können mithilfe von AWS-Service-Protokollen bei der Ursachenanalyse helfen und Ihnen Empfehlungen für die Wiederherstellung geben. Sie können Ihnen auch Sicherheitsempfehlungen und bewährte Methoden an die Hand geben, mit denen Sie Sicherheitsereignisse in Zukunft vermeiden können.

    • AWS-Kunden können das AWS-CIRT über einen AWS Support-Fall einbinden.

  • Unterstützung für DDoS-Reaktion

    • AWS bietet AWS Shield, das einen verwalteten Distributed Denial of Service (DDoS)-Schutz-Service bereitstellt, der in AWS ausgeführte Web-Anwendungen schützt. Shield bietet eine ständig aktive Erkennung und automatische Inline-Schutzmaßnahmen, mit denen Ausfallzeiten und Latenz von Anwendungen minimiert werden können. Sie müssen also nicht AWS Support kontaktieren, um vom DDoS-Schutz zu profitieren. Shield umfasst zwei Stufen: AWS Shield Standard und AWS Shield Advanced. Weitere Informationen zu den Unterschieden zwischen diesen beiden Stufen finden Sie in der Shield-Funktionsdokumentation.

  • AWS Managed Services (AMS)

    • AWS Managed Services (AMS) stellt eine fortlaufende Verwaltung Ihrer AWS-Infrastruktur bereit, damit Sie sich auf Ihre Anwendungen konzentrieren können. AMS trägt durch eine Implementierung bewährter Methoden zur Verwaltung Ihrer Infrastruktur dazu bei, den Betriebsaufwand zu reduzieren und das Risiko zu senken. Außerdem automatisiert AMS häufige Aktivitäten wie Änderungsanforderungen, Überwachung, Patch-Verwaltung, Sicherheit sowie Backup-Services und bietet während der gesamten Lebensdauer Services zum Bereitstellen, Ausführen und Unterstützen Ihrer Infrastruktur.

    • AMS übernimmt die Verantwortung für die Bereitstellung einer Reihe von Sicherheitskontrollen und bietet rund um die Uhr Erstreaktion auf Warnungen an. Wenn eine Warnung ausgelöst wird, folgt AMS einer Reihe automatisierter und manueller Standard-Playbooks, um eine konsistente Reaktion zu gewährleisten. Diese Playbooks werden den AMS-Kunden während des Onboardings zur Verfügung gestellt, damit sie eine Reaktion entwickeln und mit AMS abstimmen können.

Erstellen des Vorfallreaktionsplans

Der Vorfallreaktionsplan ist als Grundlage für Ihr Vorfallreaktionsprogramm und Ihre Vorfallreaktionsstrategie konzipiert. Er sollte immer formell schriftlich festgehalten werden. Ein Vorfallreaktionsplan enthält in der Regel folgende Abschnitte:

  • Überblick über das Vorfallreaktionsteam: Enthält die Ziele und Funktionen des Vorfallreaktionsteams.

  • Rollen und Zuständigkeiten: Hier werden die für die Vorfallreaktion zuständigen Stakeholder aufgeführt und ihre Rollen im Falle eines Vorfalls beschrieben.

  • Kommunikationsplan: Enthält Kontaktinformationen und gibt an, wie Sie während eines Vorfalls kommunizieren.

  • Alternative Kommunikationsmethoden: Es hat sich bewährt, Out-of-Band-Kommunikation als Alternative für die Kommunikation bei Vorfällen zu verwenden. Ein Beispiel für eine Anwendung, die einen sicheren Out-of-Band-Kommunikationskanal bereitstellt, ist AWS Wickr.

  • Phasen der Vorfallreaktion und zu ergreifende Maßnahmen: Hier sind die Phasen der Vorfallreaktion aufgeführt (beispielsweise Erkennung, Analyse, Beseitigung, Eindämmung und Wiederherstellung) – einschließlich der in diesen Phasen zu ergreifenden allgemeinen Maßnahmen.

  • Definitionen des Schweregrads und der Priorisierung des Vorfalls: Hier wird erläutert, wie der Schweregrad eines Vorfalls klassifiziert wird, wie der Vorfall priorisiert wird und wie sich die Schweregraddefinitionen dann auf die Eskalationsverfahren auswirken.

Diese Abschnitte sind zwar in Unternehmen verschiedener Größen und Branchen üblich, der Vorfallreaktionsplan ist jedoch für jede Organisation individuell. Erstellen Sie einen Vorfallreaktionsplan, der für Ihre Organisation am besten geeignet ist.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente: