SEC10-BP03 Forensische Fähigkeiten vorbereiten - Säule der Sicherheit

SEC10-BP03 Forensische Fähigkeiten vorbereiten

Bevor es zu einem Sicherheitsvorfall kommt, empfiehlt es sich gegebenenfalls, forensische Funktionen zur Unterstützung der Untersuchung von Sicherheitsereignissen zu entwickeln.

Risikostufe bei fehlender Befolgung dieser bewährten Methode: Mittel

Konzepte aus der traditionellen Forensik vor Ort gelten für. AWS Wichtige Informationen für den Aufbau forensischer Fähigkeiten in der finden Sie unter Strategien für forensische AWS Cloud Ermittlungsumgebungen in der. AWS Cloud

Sobald Sie Ihre Umgebung und AWS-Konto Struktur für die Forensik eingerichtet haben, definieren Sie die Technologien, die zur effektiven Durchführung forensisch fundierter Methoden in den vier Phasen erforderlich sind:

  • Erfassung: Sammeln Sie relevante AWS Protokolle wie,, VPC Flow Logs AWS CloudTrail und AWS Config Logs auf Hostebene. Sammeln Sie Snapshots, Backups und Speicherabbilder der betroffenen AWS Ressourcen, sofern verfügbar.

  • Prüfung: Prüfen Sie die erfassten Daten, indem Sie die relevanten Informationen extrahieren und bewerten.

  • Analyse: Analysieren Sie die erfassten Daten, um den Vorfall zu verstehen und Schlüsse daraus zu ziehen.

  • Berichterstellung: Präsentieren Sie die Informationen, die sich aus der Analysephase ergeben.

Implementierungsschritte

Vorbereiten Ihrer forensischen Umgebung

AWS Organizationshilft Ihnen dabei, eine AWS Umgebung zentral zu verwalten und zu steuern, während Sie Ihre Ressourcen erweitern und skalieren. AWS Eine AWS Organisation konsolidiert Ihre Daten, AWS-Konten sodass Sie sie als eine Einheit verwalten können. Sie können Organisationseinheiten (OUs) verwenden, um Konten zu gruppieren und sie als eine einzige Einheit zu verwalten.

Für die Reaktion auf Vorfälle ist es hilfreich, über eine AWS-Konto Struktur zu verfügen, die die Funktionen der Incident-Response unterstützt. Dazu gehören eine Sicherheits-OU und eine Forensik-OU. Innerhalb der sicherheitsbezogenen Organisationseinheit sollten Sie über Konten für Folgendes verfügen:

  • Protokollarchivierung: Aggregieren Sie Protokolle in einer Protokollarchivierung mit eingeschränkten Rechten AWS-Konto .

  • Sicherheitstools: Zentralisieren Sie Sicherheitsdienste in einem Sicherheitstool. AWS-Konto Dieses Konto fungiert als delegierter Administrator für Sicherheits-Services.

Innerhalb der forensischen Organisationseinheit haben Sie die Möglichkeit, für jede Region, in der Sie tätig sind, eines oder mehrere forensische Konten zu implementieren, je nachdem, was für Ihr Geschäfts- und Betriebsmodell am besten geeignet ist. Wenn Sie pro Region ein forensisches Konto erstellen, können Sie die Erstellung von AWS Ressourcen außerhalb dieser Region blockieren und so das Risiko verringern, dass Ressourcen in eine unbeabsichtigte Region kopiert werden. Wenn Sie beispielsweise nur in den Regionen „USA Ost (Nord-Virginia)“ (us-east-1) und „USA West (Oregon)“ (us-west-2) aktiv sind, würde die forensische Organisationseinheit zwei Konten umfassen: eins für us-east-1 und eins für us-west-2.

Sie können ein AWS-Konto forensisches System für mehrere Regionen erstellen. Sie sollten beim Kopieren von AWS Ressourcen auf dieses Konto Vorsicht walten lassen, um sicherzustellen, dass Sie Ihre Anforderungen an die Datenhoheit erfüllen. Da die Bereitstellung neuer Konten etwas dauert, ist es unerlässlich, die forensischen Konten rechtzeitig vor einem Vorfall einzurichten und zu instrumentieren, damit die Notfallteams vorbereitet sind und sie effektiv nutzen können.

Das folgende Diagramm zeigt eine Beispiel-Kontenstruktur mit einer forensischen Organisationseinheit mit regionsspezifischen forensischen Konten:

Flussdiagramm, das eine regionsspezifische Kontostruktur für die Reaktion auf Vorfälle zeigt und sich in eine Organisationseinheit für Sicherheit und Forensik aufteilt.

Regionsspezifische Kontenstruktur für die Reaktion auf Vorfälle

Erfassen von Backups und Snapshots

Die Einrichtung von Backups wichtiger Systeme und Datenbanken ist für die Wiederherstellung nach einem Sicherheitsvorfall und für forensische Zwecke von entscheidender Bedeutung. Mit vorhandenen Backups können Sie Ihre Systeme wieder in einen vorherigen sicheren Zustand versetzen. Bei AWS aktivierter Option können Sie Schnappschüsse verschiedener Ressourcen erstellen. Mit Snapshots erhalten Sie point-in-time Backups dieser Ressourcen. Es gibt viele AWS Dienste, die Sie bei der Sicherung und Wiederherstellung unterstützen können. Einzelheiten zu diesen Services und Ansätzen für Backup und Wiederherstellung finden Sie unter Präskriptive Leitlinien für Backup und Wiederherstellung sowie unter Verwendung von Backups zur Wiederherstellung nach Sicherheitsvorfällen.

Vor allem, wenn es um Situationen wie Ransomware geht, ist es wichtig, dass Ihre Backups gut geschützt sind. Hinweise zum Schutz Ihrer Backups finden Sie in den 10 besten Sicherheitsmethoden zum Schutz von Backups in AWS. Zusätzlich zum Schutz Ihrer Backups sollten Sie Ihre Backup- und Wiederherstellungsprozesse regelmäßig testen, um sicherzustellen, dass die vorhandenen Technologien und Prozesse wie erwartet funktionieren.

Automatisieren der Forensik

Während eines Sicherheitsereignisses muss Ihr Incident-Response-Team in der Lage sein, schnell Beweise zu sammeln und zu analysieren und gleichzeitig die Genauigkeit für den Zeitraum, der das Ereignis umgibt, aufrechtzuerhalten (z. B. das Erfassen von Protokollen zu einem bestimmten Ereignis oder einer bestimmten Ressource oder das Sammeln eines Speicherabbilds einer EC2 Amazon-Instance). Für das Vorfallreaktionsteam ist es sowohl schwierig als auch zeitaufwändig, die relevanten Nachweise manuell zu erfassen, insbesondere bei einer großen Anzahl von Instances und Konten. Darüber hinaus kann die manuelle Erfassung anfällig für menschliche Fehler sein. Daher sollten Sie die Automatisierung für die Forensik so weit wie möglich entwickeln und implementieren.

AWS bietet eine Reihe von Automatisierungsressourcen für die Forensik, die im folgenden Abschnitt „Ressourcen“ aufgeführt sind. Diese Ressourcen sind Beispiele für forensische Muster, die von entwickelt und von Kunden implementiert wurden. Obwohl sie für den Anfang eine nützliche Referenzarchitektur sein können, sollten Sie erwägen, sie zu ändern oder neue forensische Automatisierungsmuster zu erstellen, die auf Ihrer Umgebung, Ihren Anforderungen, Tools und forensischen Prozessen basieren.

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele: