View a markdown version of this page

Contención - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Contención

Cuando Respuesta frente a incidencias de seguridad de AWS identifica una amenaza activa en su entorno, la prioridad inmediata es contenerla: impedir que el autor de la amenaza cause más daños y, al mismo tiempo, conservar las pruebas para su investigación. El servicio gestiona la contención mediante medidas reversibles y automatizadas que aíslan los recursos comprometidos sin destruirlos. Para habilitar estas capacidades, primero se deben configurar los permisos y las preferencias necesarios. Consulte Implementar funciones de contención y clasificación de EC2.

Toma de decisiones de contención

Una parte esencial de la contención es decidir si se debe apagar un sistema, aislar un recurso de la red, revocar el acceso o finalizar las sesiones. Respuesta frente a incidencias de seguridad de AWS proporciona la estrategia de contención, le informa sobre el posible impacto y lo orienta en la implementación de la solución únicamente después de que se hayan tenido en cuenta y aceptado los riesgos involucrados.

Estas decisiones se vuelven más fáciles cuando se tienen estrategias y procedimientos predeterminados. El servicio utiliza una combinación de sus preferencias de contención (configuradas durante la incorporación), la naturaleza de la amenaza y el análisis en tiempo real para determinar la respuesta adecuada.

Medidas de contención admitidas

Respuesta frente a incidencias de seguridad de AWS ejecuta medidas de contención en su nombre para reducir el tiempo del que dispone un agente de amenazas para causar daños. Todas las medidas de contención compatibles son reversibles. El servicio puede restaurar el recurso al estado previo a la contención una vez resuelto el incidente. Las medidas de contención se asignan a tres tipos de recursos:

La contención de Amazon EC2 (AWSSupport-ContainEC2Instance) realiza una contención de red reversible de una instancia de Amazon Elastic Compute Cloud (Amazon EC2). La instancia permanece en ejecución e intacta, pero la automatización la aísla de la nueva actividad de la red e impide que se comunique con los recursos dentro o fuera de su Amazon VPC al reemplazar los grupos de seguridad de la instancia por un grupo de seguridad de contención restrictiva. Las conexiones rastreadas existentes no se cierran como resultado del cambio de grupos de seguridad. Solo se bloquea el tráfico futuro.

La contención de IAM (AWSSupport-ContainIAMPrincipal) es una contención reversible de un usuario o rol AWS Identity and Access Management (de IAM). La entidad principal sigue siendo la IAM, pero la automatización la aísla de la comunicación con los recursos de la cuenta al incluir una política de exclusión total. Esto anula de manera efectiva la capacidad de la entidad principal para tomar medidas y, al mismo tiempo, la conserva para su revisión forense.

La contención de Amazon S3 (AWSSupport-ContainS3Resource) es una contención reversible de un bucket de Amazon Simple Storage Service (Amazon S3). Los objetos permanecen en el bucket, pero la automatización aísla el bucket o el objeto mediante la modificación de sus políticas de acceso para denegar todo acceso externo.

Desarrollar su estrategia de contención

Piense estrategias de contención para cada tipo de evento importante que se adapten a su tolerancia al riesgo. Documente criterios claros que lo ayuden a tomar decisiones durante un evento. Entre los criterios que debe considerar se incluyen los siguientes:

  • Posibles daños a los recursos

  • Preservación de pruebas y requisitos normativos

  • Falta de disponibilidad del servicio (por ejemplo, conectividad de red o servicios prestados a terceros)

  • Tiempo y recursos necesarios para implementar la estrategia

  • Efectividad de la estrategia (contención parcial frente a contención total)

  • Permanencia de la solución (reversible frente a irreversible)

  • Duración de la solución (solución de emergencia, solución temporal o solución permanente)

Aplique controles de seguridad que reduzcan el riesgo y permitan disponer de tiempo para definir e implementar una estrategia de contención más eficaz.

Enfoque de contención por fases

Respuesta frente a incidencias de seguridad de AWS emplea un enfoque gradual para lograr una contención eficiente y eficaz, que incluya estrategias a corto y largo plazo basadas en el tipo de recurso. La contención a corto plazo se centra en detener inmediatamente la amenaza activa (aislar una red, revocar las credenciales), mientras que la contención a largo plazo aborda la causa principal para evitar que se repita una vez que haya pasado el peligro inmediato.

Cómo se relaciona la contención con el ciclo de vida del incidente

La contención se sitúa entre la detección y el análisis y la erradicación en el ciclo de vida del incidente. Una vez que la clasificación automática identifica una amenaza confirmada o sospechada y se crea un caso, el servicio determina si se justifica tomar medidas de contención en función de sus preferencias y de la gravedad del evento. Una vez contenido un recurso, los ingenieros de Respuesta frente a incidencias de seguridad de AWS continúan con la investigación, comparten las conclusiones con usted y lo guían durante la erradicación y la recuperación. Una vez resuelto completamente el incidente, se anulan las acciones de contención y se reanudan las operaciones normales.