SEC10-BP03 Menyiapkan kemampuan forensik

Sebelum terjadinya insiden keamanan, pertimbangkan untuk mengembangkan kemampuan forensik untuk mendukung investigasi event keamanan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Konsep dari forensik on-premise tradisional berlaku untuk AWS. Untuk informasi penting untuk mulai membangun kemampuan forensik di AWS Cloud, lihat Strategi lingkungan investigasi forensik di AWS Cloud.

Setelah Anda menyiapkan lingkungan dan struktur Akun AWS Anda untuk forensik, tentukan teknologi yang diperlukan untuk secara efektif melakukan metodologi yang baik secara forensik di empat fase:

Pengumpulan: Kumpulkan log AWS yang relevan, seperti AWS Config, Log Aliran VPC, dan log tingkat host. Kumpulkan snapshot, cadangan, dan dump memori dari sumber daya AWS yang terkena dampak jika tersedia.
Pemeriksaan: Periksa data yang dikumpulkan dengan mengekstraksi dan menilai informasi yang relevan.
Analisis: Lakukan analisis data yang dikumpulkan untuk memahami insiden dan menarik kesimpulan darinya.
Pelaporan: Sajikan informasi yang dihasilkan dari fase analisis.

Langkah implementasi

Persiapkan lingkungan forensik Anda

AWS Organizations membantu Anda mengelola dan mengatur lingkungan AWS secara terpusat saat Anda mengembangkan dan menskalakan sumber daya AWS. Sebuah organisasi AWS menggabungkan Akun AWS Anda sehingga Anda dapat mengelolanya sebagai satu unit. Anda dapat menggunakan unit organisasi (OU) untuk mengumpulkan akun-akun untuk dikelola sebagai satu unit.

Untuk respons insiden, ada manfaatnya memiliki struktur Akun AWS yang mendukung fungsi respons insiden, yang mencakup OU Keamanan dan OU Forensik. Di dalam OU keamanan, Anda harus memiliki akun untuk:

Pengarsipan log: Agregasikan log dalam Akun AWS pengarsipan log dengan izin terbatas.
Alat keamanan: Pusatkan layanan keamanan di Akun AWS alat keamanan. Akun ini beroperasi sebagai administrator yang didelegasikan untuk layanan keamanan.

Dalam OU forensik, Anda memiliki opsi untuk mengimplemetasikan satu atau beberapa akun forensik untuk setiap Region tempat Anda beroperasi, tergantung mana yang paling sesuai untuk model bisnis dan operasional Anda. Jika Anda membuat akun forensik per Region, Anda dapat memblokir pembuatan sumber daya AWS di luar Region tersebut dan mengurangi risiko sumber daya disalin ke region yang tidak diinginkan. Misalnya, jika Anda hanya beroperasi di US East (N. Virginia) Region (us-east-1) dan US West (Oregon) (us-west-2), maka Anda akan memiliki dua akun di OU forensik: satu untuk us-east-1 dan satu untuk us-west-2.

Anda dapat membuat Akun AWS forensik untuk beberapa Region. Anda harus berhati-hati dalam menyalin sumber daya AWS ke akun tersebut untuk memastikan keselarasan dengan persyaratan kedaulatan data Anda. Karena diperlukan waktu untuk menyediakan akun baru, akun forensik harus dibuat dan dilengkapi jauh sebelum insiden sehingga tim perespons dapat dipersiapkan untuk menggunakannya secara efektif untuk merespons.

Diagram berikut ini menampilkan contoh struktur akun termasuk OU forensik dengan akun forensik per Region:

Struktur akun per Region untuk respons insiden

Rekam cadangan dan snapshot

Menyiapkan cadangan sistem dan basis data utama sangat penting untuk pemulihan dari insiden keamanan dan untuk tujuan forensik. Dengan cadangan di tempat, Anda dapat memulihkan sistem Anda ke keadaan aman sebelumnya. Pada AWS, Anda dapat membuat snapshot berbagai sumber daya. Snapshot memberi Anda cadangan titik waktu dari sumber daya tersebut. Ada banyak layanan AWS yang dapat mendukung Anda dalam pencadangan dan pemulihan. Untuk detail tentang layanan dan pendekatan ini untuk pencadangan dan pemulihan, lihat Panduan Preskriptif Pencadangan dan Pemulihan dan Gunakan cadangan untuk memulihkan dari insiden keamanan.

Terutama berkaitan dengan situasi seperti ransomware, cadangan Anda harus terlindungi dengan baik. Untuk panduan tentang mengamankan cadangan Anda, lihat 10 praktik terbaik keamanan untuk mengamankan cadangan di AWS. Selain mengamankan cadangan Anda, Anda harus secara rutin menguji proses pencadangan dan pemulihan Anda untuk memastikan teknologi dan proses yang Anda miliki berfungsi seperti yang diharapkan.

Mengotomatiskan forensik

Selama event keamanan, tim respons insiden Anda harus dapat mengumpulkan dan menganalisis bukti dengan cepat sambil mempertahankan akurasi selama jangka waktu sebelum dan sesudah event (seperti menangkap log yang berkaitan dengan event atau sumber daya tertentu atau mengumpulkan dump memori suatu instans Amazon EC2). Ini adalah hal yang menantang dan memakan waktu bagi tim respons insiden untuk mengumpulkan bukti yang relevan secara manual, terutama di sejumlah besar instans dan akun. Selain itu, pengumpulan manual bisa rentan terhadap kesalahan manusia. Untuk alasan-alasan ini, Anda harus mengembangkan dan mengimplementasikan otomatisasi untuk forensik sebanyak mungkin.

AWS menawarkan sejumlah sumber daya otomatisasi untuk forensik, yang tercantum di bagian Sumber Daya berikut ini. Sumber daya ini adalah contoh-contoh pola forensik yang telah kami kembangkan dan telah diimplementasikan oleh pelanggan. Meskipun merupakan arsitektur referensi yang berguna untuk memulai, pertimbangkan untuk memodifikasinya atau membuat pola otomatisasi forensik baru berdasarkan lingkungan, persyaratan, alat, dan proses forensik Anda.

Sumber daya

Dokumen terkait:

Video terkait:

Mengotomatiskan Respons Insiden dan Forensik

Contoh terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC10-BP02 Membuat rencana manajemen insiden

SEC10-BP04 Mengembangkan dan menguji playbook respons insiden keamanan