SEC10-BP03 Forensische Fähigkeiten vorbereiten
Bevor es zu einem Sicherheitsvorfall kommt, empfiehlt es sich gegebenenfalls, forensische Funktionen zur Unterstützung der Untersuchung von Sicherheitsereignissen zu entwickeln.
Risikostufe bei fehlender Befolgung dieser bewährten Methode: Mittel
Konzepte aus der traditionellen Forensik vor Ort gelten für. AWS Wichtige Informationen für den Aufbau forensischer Fähigkeiten in der finden Sie unter Strategien für forensische AWS Cloud
Sobald Sie Ihre Umgebung und AWS-Konto Struktur für die Forensik eingerichtet haben, definieren Sie die Technologien, die zur effektiven Durchführung forensisch fundierter Methoden in den vier Phasen erforderlich sind:
-
Erfassung: Sammeln Sie relevante AWS Protokolle wie,, VPC Flow Logs AWS CloudTrail und AWS Config Logs auf Hostebene. Sammeln Sie Snapshots, Backups und Speicherabbilder der betroffenen AWS Ressourcen, sofern verfügbar.
-
Prüfung: Prüfen Sie die erfassten Daten, indem Sie die relevanten Informationen extrahieren und bewerten.
-
Analyse: Analysieren Sie die erfassten Daten, um den Vorfall zu verstehen und Schlüsse daraus zu ziehen.
-
Berichterstellung: Präsentieren Sie die Informationen, die sich aus der Analysephase ergeben.
Implementierungsschritte
Vorbereiten Ihrer forensischen Umgebung
AWS Organizations
Für die Reaktion auf Vorfälle ist es hilfreich, über eine AWS-Konto Struktur zu verfügen, die die Funktionen der Incident-Response unterstützt. Dazu gehören eine Sicherheits-OU und eine Forensik-OU. Innerhalb der sicherheitsbezogenen Organisationseinheit sollten Sie über Konten für Folgendes verfügen:
-
Protokollarchivierung: Aggregieren Sie Protokolle in einer Protokollarchivierung mit eingeschränkten Rechten AWS-Konto .
-
Sicherheitstools: Zentralisieren Sie Sicherheitsdienste in einem Sicherheitstool. AWS-Konto Dieses Konto fungiert als delegierter Administrator für Sicherheits-Services.
Innerhalb der forensischen Organisationseinheit haben Sie die Möglichkeit, für jede Region, in der Sie tätig sind, eines oder mehrere forensische Konten zu implementieren, je nachdem, was für Ihr Geschäfts- und Betriebsmodell am besten geeignet ist. Wenn Sie pro Region ein forensisches Konto erstellen, können Sie die Erstellung von AWS Ressourcen außerhalb dieser Region blockieren und so das Risiko verringern, dass Ressourcen in eine unbeabsichtigte Region kopiert werden. Wenn Sie beispielsweise nur in den Regionen „USA Ost (Nord-Virginia)“ (us-east-1
) und „USA West (Oregon)“ (us-west-2
) aktiv sind, würde die forensische Organisationseinheit zwei Konten umfassen: eins für us-east-1
und eins für us-west-2
.
Sie können ein AWS-Konto forensisches System für mehrere Regionen erstellen. Sie sollten beim Kopieren von AWS Ressourcen auf dieses Konto Vorsicht walten lassen, um sicherzustellen, dass Sie Ihre Anforderungen an die Datenhoheit erfüllen. Da die Bereitstellung neuer Konten etwas dauert, ist es unerlässlich, die forensischen Konten rechtzeitig vor einem Vorfall einzurichten und zu instrumentieren, damit die Notfallteams vorbereitet sind und sie effektiv nutzen können.
Das folgende Diagramm zeigt eine Beispiel-Kontenstruktur mit einer forensischen Organisationseinheit mit regionsspezifischen forensischen Konten:
Erfassen von Backups und Snapshots
Die Einrichtung von Backups wichtiger Systeme und Datenbanken ist für die Wiederherstellung nach einem Sicherheitsvorfall und für forensische Zwecke von entscheidender Bedeutung. Mit vorhandenen Backups können Sie Ihre Systeme wieder in einen vorherigen sicheren Zustand versetzen. Bei AWS aktivierter Option können Sie Schnappschüsse verschiedener Ressourcen erstellen. Mit Snapshots erhalten Sie point-in-time Backups dieser Ressourcen. Es gibt viele AWS Dienste, die Sie bei der Sicherung und Wiederherstellung unterstützen können. Einzelheiten zu diesen Services und Ansätzen für Backup und Wiederherstellung finden Sie unter Präskriptive Leitlinien für Backup und Wiederherstellung sowie unter Verwendung von Backups zur Wiederherstellung nach Sicherheitsvorfällen
Vor allem, wenn es um Situationen wie Ransomware geht, ist es wichtig, dass Ihre Backups gut geschützt sind. Hinweise zum Schutz Ihrer Backups finden Sie in den 10 besten Sicherheitsmethoden zum Schutz von Backups in AWS
Automatisieren der Forensik
Während eines Sicherheitsereignisses muss Ihr Incident-Response-Team in der Lage sein, schnell Beweise zu sammeln und zu analysieren und gleichzeitig die Genauigkeit für den Zeitraum, der das Ereignis umgibt, aufrechtzuerhalten (z. B. das Erfassen von Protokollen zu einem bestimmten Ereignis oder einer bestimmten Ressource oder das Sammeln eines Speicherabbilds einer EC2 Amazon-Instance). Für das Vorfallreaktionsteam ist es sowohl schwierig als auch zeitaufwändig, die relevanten Nachweise manuell zu erfassen, insbesondere bei einer großen Anzahl von Instances und Konten. Darüber hinaus kann die manuelle Erfassung anfällig für menschliche Fehler sein. Daher sollten Sie die Automatisierung für die Forensik so weit wie möglich entwickeln und implementieren.
AWS bietet eine Reihe von Automatisierungsressourcen für die Forensik, die im folgenden Abschnitt „Ressourcen“ aufgeführt sind. Diese Ressourcen sind Beispiele für forensische Muster, die von entwickelt und von Kunden implementiert wurden. Obwohl sie für den Anfang eine nützliche Referenzarchitektur sein können, sollten Sie erwägen, sie zu ändern oder neue forensische Automatisierungsmuster zu erstellen, die auf Ihrer Umgebung, Ihren Anforderungen, Tools und forensischen Prozessen basieren.
Ressourcen
Zugehörige Dokumente:
-
AWS Leitfaden zur Reaktion auf Sicherheitsvorfälle — Entwickeln Sie forensische Fähigkeiten
-
AWS Leitfaden zur Reaktion auf Sicherheitsvorfälle — Ressourcen für Forensik
-
Strategien für forensische Untersuchungen im Umfeld der AWS Cloud
-
So automatisieren Sie die forensische Festplattensammlung in AWS
-
AWS Präskriptive Leitlinien — Automatisieren Sie die Reaktion auf Vorfälle und die Forensik
Zugehörige Videos:
Zugehörige Beispiele: