L'analisi forense nel contesto della risposta agli incidenti di sicurezza Account per l'analisi forense Amazon GuardDuty Centrale di sicurezza AWS Amazon EventBridge AWS Step Functions AWS Lambda AWS KMS

Informatica forense

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio

Nel contesto dell'AWS SRA, utilizziamo la seguente definizione di analisi forense fornita dal National Institute of Standards and Technology (NIST): "l'applicazione della scienza all'identificazione, alla raccolta, all'esame e all'analisi dei dati, preservando l'integrità delle informazioni e mantenendo una rigorosa catena di custodia dei dati" (fonte: NIST Special Publication 800-86 — Guide to Integrating Forensic Techniques into Incident Response).

L'analisi forense nel contesto della risposta agli incidenti di sicurezza

Le linee guida sulla risposta agli incidenti (IR) contenute in questa sezione vengono fornite solo nel contesto dell'analisi forense e del modo in cui diversi servizi e soluzioni possono migliorare il processo IR.

La guida alla risposta agli incidenti di sicurezza AWS elenca le best practice per rispondere agli incidenti di sicurezza nel cloud AWS, sulla base delle esperienze dell'AWS Customer Incident Response Team (AWS CIRT). Per ulteriori indicazioni su AWS CIRT, consulta i workshop AWS CIRT e le lezioni da AWS CIRT.

Il National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) definisce quattro fasi del ciclo di vita dell'IR: preparazione; rilevamento e analisi; contenimento, eradicazione e ripristino; e attività post-incidente. Questi passaggi possono essere implementati in sequenza. Tuttavia, tale sequenza è spesso ciclica perché alcuni passaggi devono essere ripetuti dopo il passaggio alla fase successiva del ciclo. Ad esempio, dopo il contenimento e l'eradicazione, è necessario eseguire nuovamente l'analisi per confermare che si è riusciti a rimuovere la minaccia dall'ambiente.

Questo ciclo ripetuto di analisi, contenimento, eliminazione e ritorno all'analisi consente di raccogliere più informazioni ogni volta che vengono rilevati nuovi indicatori di compromesso ()IoCs. Questi IoCs sono utili da diversi punti di vista. In primo luogo, forniscono una cronologia dei passi compiuti dalla minaccia per compromettere l'ambiente. In secondo luogo, eseguendo un'adeguata revisione post-incidente, è possibile migliorare le difese e i sistemi di rilevamento in modo da prevenire l'incidente in futuro o rilevare più rapidamente le azioni della minaccia e quindi ridurre l'impatto dell'incidente.

Sebbene questo processo IR non sia l'obiettivo principale dell'analisi forense, molti degli strumenti, delle tecniche e delle best practice sono condivisi con l'IR (in particolare la fase di analisi). Ad esempio, dopo l'individuazione di un incidente, il processo di raccolta forense espleta l'istruzione probatoria. Successivamente, l'esame e l'analisi delle prove possono aiutare a estrarre. IoCs Alla fine, il reporting forense può aiutare nelle attività post-IR.

Consigliamo di automatizzare il processo forense il più possibile per accelerare la risposta e ridurre il carico su coloro che sono interessati dal processo IR. Inoltre, è possibile aggiungere altre analisi automatizzate dopo che il processo di raccolta forense è terminato e le prove sono state archiviate in modo sicuro per evitare la contaminazione. Per ulteriori informazioni, consulta lo schema "Automate incident response and forensics" sul sito web Prontuario AWS.

Considerazioni di natura progettuale

Per migliorare la tua prontezza nella risposta agli incidenti (IR):

Abilita e archivia in modo sicuro i log che potrebbero essere necessari durante un'indagine o una risposta a un incidente.
Precompila le query per scenari noti e fornisci metodi automatizzati per la ricerca nei log. Valuta la possibilità di utilizzare Amazon Detective.
Prepara i tuoi strumenti IR eseguendo simulazioni.
Verifica regolarmente i processi di backup e ripristino per assicurarti che abbiano esito positivo.
Utilizza playbook basati su scenari, a partire da potenziali eventi comuni relativi ad AWS sulla base dei risultati di Amazon. GuardDuty Per informazioni su come creare i tuoi playbook, consulta la sezione con le risorse sui playbook nella guida alla risposta agli incidenti di sicurezza AWS.

Account per l'analisi forense

Dichiarazione di non responsabilità

La seguente descrizione di un account AWS per l'analisi forense deve essere utilizzata dalle organizzazioni solo come punto di partenza per sviluppare le proprie capacità forensi, unitamente alle indicazioni fornite dai propri consulenti legali.

Decliniamo ogni responsabilità in merito all'idoneità di queste linee guida per la rilevazione o l'indagine di reati, nonché alla possibilità di utilizzare i dati o le prove forensi acquisite attraverso l'applicazione di queste linee guida in un contesto legale. È necessario valutare in modo indipendente l'idoneità delle best practice qui descritte per il proprio caso d'uso.

Il diagramma seguente illustra i servizi di sicurezza AWS che possono essere configurati in un account per l'analisi forense dedicato. A titolo di contesto, il diagramma mostra l'account strumenti di sicurezza per rappresentare i servizi AWS utilizzati per fornire rilevamenti o notifiche nell'account per l'analisi forense.

L'account per l'analisi forense è un tipo separato e dedicato di account strumenti di sicurezza che si trova all'interno dell'unità organizzativa di sicurezza. Lo scopo dell'account per l'analisi forense è fornire una camera bianca standard, preconfigurata e ripetibile per consentire al team forense di un'organizzazione di implementare tutte le fasi del processo forense: raccolta, esame, analisi e relazione. Inoltre, in questo account sono inclusi anche il processo di quarantena e isolamento per le risorse pertinenti.

Il contenimento dell'intero processo di analisi forense in un account separato consente di applicare controlli di accesso aggiuntivi ai dati forensi raccolti e archiviati. Consigliamo di separare gli account per l'analisi forense e gli strumenti di sicurezza per i seguenti motivi:

Le risorse forensi e per la sicurezza potrebbero appartenere a team diversi o disporre di autorizzazioni diverse.
L'account strumenti di sicurezza potrebbe disporre di un'automazione incentrata sulla risposta agli eventi di sicurezza sul piano di controllo AWS, ad esempio l'abilitazione di Blocco dell'accesso pubblico Amazon S3 per i bucket S3, mentre l'account per l'analisi forense include anche elementi del piano dati AWS di cui il cliente potrebbe essere responsabile, come il sistema operativo (OS) o i dati specifici dell'applicazione all'interno di un'istanza EC2.
Potrebbe essere necessario implementare ulteriori restrizioni di accesso o vincoli legali a seconda dei requisiti organizzativi o normativi.
Il processo di analisi forense potrebbe richiedere l'analisi di codice dannoso, come il malware, in un ambiente sicuro in linea con i termini di servizio di AWS.

L'account per l'analisi forense dovrebbe includere l'automazione per accelerare l'istruzione probatoria su larga scala, riducendo al minimo l'interazione umana nel processo di raccolta forense. In questo account verrebbe inclusa anche l'automazione per rispondere e mettere in quarantena le risorse per semplificare i meccanismi di tracciamento e segnalazione.

Le funzionalità forensi descritte in questa sezione devono essere implementate in ogni regione AWS disponibile, anche se l'organizzazione non le utilizza attivamente. Se non si prevede di utilizzare Regioni AWS specifiche, è necessario applicare una policy di controllo dei servizi (SCP) per limitare il provisioning delle risorse AWS. Inoltre, il mantenimento delle indagini e dell'archiviazione degli artefatti forensi all'interno della stessa Regione aiuta a evitare problemi in relazione al mutevole panorama normativo in materia di proprietà e residenza dei dati.

Questa guida utilizza l'account archivio di log come descritto in precedenza per registrare le azioni intraprese nell'ambiente tramite le API AWS, incluse le API eseguite nell'account analisi forensi. La presenza di tali log può aiutare a evitare accuse di cattiva gestione o manomissione degli artefatti. A seconda del livello di dettaglio abilitato (vedi Logging management events e Logging data events nella CloudTrail documentazione AWS), i log possono includere informazioni sull'account utilizzato per raccogliere gli artefatti, l'ora in cui gli artefatti sono stati raccolti e le fasi adottate per raccogliere i dati. Archiviando gli artefatti in Amazon S3, è possibile anche utilizzare controlli di accesso avanzati e registrare informazioni su chi aveva accesso agli oggetti. Un log dettagliato delle azioni compiute consente ad altri di ripetere il processo in un secondo momento, se necessario (supponendo che le risorse in questione siano ancora disponibili).

Considerazioni di natura progettuale

Quando si verificano molti incidenti simultanei, l'automazione è utile in quanto aiuta ad accelerare e dimensionare la raccolta di prove essenziali. Tuttavia, è bene valutare questi vantaggi con attenzione. Ad esempio, in caso di falso positivo, una risposta forense completamente automatizzata potrebbe avere un impatto negativo su un processo aziendale supportato da un carico di lavoro AWS coinvolto. Per ulteriori informazioni, consulta le considerazioni di progettazione per AWS GuardDuty, AWS Security Hub e AWS Step Functions nelle seguenti sezioni.
Consigliamo di separare gli account per l'analisi forense e gli strumenti di sicurezza, anche se le risorse forensi e per la sicurezza dell'organizzazione fanno parte dello stesso team e tutte le funzioni possono essere eseguite da qualsiasi membro del team. La suddivisione delle funzioni in account separati supporta ulteriormente i privilegi minimi, aiuta a evitare la contaminazione causata da un'analisi continua degli eventi di sicurezza e aiuta a rafforzare l'integrità degli artefatti raccolti.
È possibile creare un'unità organizzativa per l'analisi forense separata per ospitare il rispettivo account se si desidera enfatizzare ulteriormente la separazione dei compiti, i privilegi minimi e i guardrail restrittivi.
Se l'organizzazione utilizza risorse di infrastruttura immutabili, le informazioni di valore forense potrebbero andare perse se una risorsa viene eliminata automaticamente (ad esempio, durante un evento di ridimensionamento) e prima che venga rilevato un incidente di sicurezza. Per evitare questo, valuta la possibilità di eseguire un processo di raccolta forense per ciascuna delle suddette risorse. È possibile prendere in considerazione vari fattori quali tipi di ambiente, criticità aziendale del carico di lavoro, tipologia di dati elaborati e così via, al fine di ridurre il volume dei dati raccolti.
Prendi in considerazione l'idea WorkSpaces di utilizzare Amazon per creare postazioni di lavoro pulite. Durante un'indagine, questo può aiutare a mantenere distinte le azioni delle parti interessate.

Amazon GuardDuty

Amazon GuardDuty è un servizio di rilevamento che monitora continuamente attività dannose e comportamenti non autorizzati per proteggere gli account e i carichi di lavoro AWS. Per una guida generale su AWS SRA, consulta Amazon GuardDuty nella sezione Account Security Tooling.

Puoi utilizzare GuardDuty i risultati per avviare il flusso di lavoro forense che acquisisce immagini di disco e memoria di istanze EC2 potenzialmente compromesse. Ciò riduce l'interazione umana e può aumentare notevolmente la velocità di raccolta dei dati forensi. Puoi integrarti GuardDuty con Amazon EventBridge per automatizzare le risposte a nuove GuardDuty scoperte.

L'elenco dei tipi di GuardDuty risultati è in crescita. Pertanto, bisogna considerare quali tipi di esiti (ad esempio Amazon EC2, Amazon EKS, protezione da malware e così via) dovrebbero avviare il flusso di lavoro forense.

Puoi automatizzare completamente l'integrazione del processo di contenimento e raccolta dei dati forensi con i GuardDuty risultati per analizzare gli artefatti del disco e della memoria e mettere in quarantena le istanze EC2. Ad esempio, se tutte le regole di ingresso e uscita vengono rimosse da un gruppo di sicurezza, è possibile applicare un ACL di rete per interrompere la connessione esistente e allegare una policy IAM per rifiutare tutte le richieste.

Considerazioni di natura progettuale

A seconda del servizio AWS, la responsabilità condivisa del cliente può variare. Ad esempio, l'acquisizione di dati volatili sulle istanze EC2 è possibile solo sull'istanza stessa e potrebbe includere dati preziosi che possono essere utilizzati come prove forensi. Al contrario, la risposta e l'analisi di un risultato relativo ad Amazon S3 riguardano principalmente dati o log di accesso di CloudTrail Amazon S3. L'automazione delle risposte deve essere organizzata negli account per l'analisi forense e gli strumenti di sicurezza in base alla responsabilità condivisa del cliente, al flusso generale del processo e agli artefatti acquisiti che devono essere protetti.
Prima di mettere in quarantena un'istanza EC2, valuta la sua criticità e il suo impatto aziendale complessivo. Considera la possibilità di implementare un processo che coinvolga opportunamente le parti interessate prima di avviare l'automazione per il confinamento delle istanze EC2.

Centrale di sicurezza AWS

Centrale di sicurezza AWS fornisce una visione completa della posizione di sicurezza in AWS e aiuta a controllare l'ambiente rispetto agli standard di sicurezza del settore e alle best practice. Centrale di sicurezza raccoglie i dati di sicurezza dai servizi integrati di AWS, dai prodotti supportati da terzi e da altri prodotti di sicurezza personalizzati che l'utente potrebbe utilizzare. Aiuta a monitorare e analizzare costantemente le tendenze di sicurezza e a identificare i problemi di sicurezza più importanti. Per linee guida generali su AWS SRA, consulta Centrale di sicurezza AWS nella sezione account strumenti di sicurezza.

Oltre a monitorare il livello di sicurezza, Security Hub supporta l'integrazione con Amazon EventBridge per automatizzare la correzione di problemi specifici. Ad esempio, è possibile definire azioni personalizzate che possono essere programmate per eseguire una funzione AWS Lambda o un flusso di lavoro AWS Step Functions per implementare un processo forense.

Le azioni personalizzate di Centrale di sicurezza forniscono un meccanismo standardizzato per consentire agli analisti o alle risorse di sicurezza autorizzati di implementare il contenimento e l'automazione forense. Ciò riduce le interazioni umane nel contenimento e nell'acquisizione delle prove forensi. È possibile aggiungere un checkpoint manuale nel processo automatizzato per confermare che sia effettivamente necessaria una raccolta forense.

Considerazione di natura progettuale

Centrale di sicurezza può essere integrato con molti servizi, incluse le soluzioni dei partner AWS. Se la tua organizzazione utilizza controlli di sicurezza investigativi che non sono completamente perfezionati e che a volte generano avvisi falsi positivi, l'automazione completa del processo di raccolta forense comporterebbe l'esecuzione talvolta inutile di tale processo.

Amazon EventBridge

Amazon EventBridge è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. Viene spesso utilizzato nell'automazione della sicurezza. Per una guida generale su AWS SRA, consulta Amazon EventBridge nella sezione Account Security Tooling.

Ad esempio, è possibile utilizzarlo EventBridge come meccanismo per avviare un flusso di lavoro forense in Step Functions per acquisire immagini del disco e della memoria in base ai rilevamenti effettuati da strumenti di monitoraggio della sicurezza come. GuardDuty Oppure potresti usarlo in un modo più manuale: EventBridge potrebbe rilevare gli eventi di modifica dei tag in CloudTrail, il che potrebbe avviare il flusso di lavoro forense in Step Functions.

AWS Step Functions

AWS Step Functions è un servizio di orchestrazione serverless che si può integrare con le funzioni AWS Lambda e altri servizi AWS per la creazione di applicazioni business-critical. Nella console grafica di Step Functions è possibile vedere il flusso di lavoro dell'applicazione come una serie di passaggi basati sugli eventi. Step Functions si fonda su attività e macchine a stati. In Step Functions, un flusso di lavoro viene chiamato macchina a stati, che consiste in una serie di passaggi basati sugli eventi. Ogni fase di un flusso di lavoro è denominata stato. Uno stato Attività rappresenta un'unità di lavoro svolta da un altro servizio AWS, come Lambda. Uno stato Attività può chiamare qualsiasi servizio o API AWS. Utilizzando i controlli integrati in Step Functions è possibile esaminare lo stato di ogni fase del flusso di lavoro e assicurarsi che ogni passaggio venga eseguito nell'ordine corretto e come previsto. A seconda del caso d'uso, è possibile fare in modo che Step Functions chiami i servizi AWS, come Lambda, per eseguire attività. È possibile anche creare flussi di lavoro automatizzati e di lunga durata per applicazioni che richiedono l'interazione umana.

Step Functions è ideale per l'uso con un processo forense perché supporta un set ripetibile e automatizzato di passaggi predefiniti che possono essere verificati tramite i log di AWS. Questo aiuta a escludere qualsiasi coinvolgimento umano ed evitare errori nel processo forense.

Considerazioni di natura progettuale

È possibile avviare un flusso di lavoro Step Functions manualmente o automaticamente per acquisire e analizzare i dati di sicurezza quando GuardDuty o Security Hub indica un compromesso. L'automazione caratterizzata da un'interazione umana limitata o assente consente al team di ridimensionare rapidamente nel caso di un evento di sicurezza rilevante che interessa molte risorse.
Per limitare i flussi di lavoro completamente automatizzati, è possibile includere passaggi nel flusso di automazione per alcuni interventi manuali. Ad esempio, potresti richiedere a un analista della sicurezza o a un membro del team autorizzato di esaminare i risultati di sicurezza generati e determinare se avviare una raccolta di prove forensi o mettere in quarantena e contenere le risorse interessate, o fare entrambe le cose.
Se desideri avviare un'indagine forense senza un risultato attivo creato da strumenti di sicurezza (come Security GuardDuty Hub), devi implementare integrazioni aggiuntive per richiamare un flusso di lavoro Step Functions forense. Ciò può essere fatto creando una EventBridge regola che cerchi un CloudTrail evento specifico (ad esempio un evento di modifica del tag) o consentendo a un analista della sicurezza o a un membro del team di avviare un flusso di lavoro Step Functions forense direttamente dalla console. È possibile anche utilizzare Step Functions per creare ticket operativi integrandolo con il sistema di gestione di ticket della propria organizzazione.

AWS Lambda

Con AWS Lambda è possibile eseguire codice senza effettuare il provisioning o gestire server. I costi saranno calcolati in base al tempo di elaborazione effettivo. Non viene addebitato alcun costo quando il codice non è in esecuzione. Lambda esegue il codice su un'infrastruttura di elaborazione ad alta disponibilità e amministra tutte le risorse di calcolo, compresa la manutenzione del server e del sistema operativo, il provisioning e il dimensionamento automatico della capacità e la registrazione di log. L'utente fornisce il suo codice in uno dei runtime di linguaggio supportati da Lambda e poi organizza il proprio codice in funzioni Lambda. Il servizio Lambda esegue la funzione solo quando necessario e si dimensiona automaticamente.

Nel contesto di un'indagine forense, l'utilizzo delle funzioni Lambda consente di ottenere risultati costanti attraverso passaggi predefiniti, ripetibili e automatizzati che vengono definiti nel codice Lambda. Quando una funzione Lambda viene eseguita, questa crea un log che consente di verificare che sia stato implementato il processo corretto.

Considerazioni di natura progettuale

Le funzioni Lambda hanno un timeout di 15 minuti, mentre un processo forense completo per raccogliere prove pertinenti potrebbe richiedere più tempo. Per questo motivo, consigliamo di orchestrare il processo forense utilizzando le funzioni Lambda integrate in un flusso di lavoro Step Functions. Il flusso di lavoro consente di creare funzioni Lambda nell'ordine corretto e ogni funzione Lambda implementa una singola fase di raccolta.
Organizzando le funzioni Lambda forensi in un flusso di lavoro Step Functions, è possibile eseguire porzioni della procedura di raccolta forense in parallelo per velocizzare la raccolta. Ad esempio, quando sono inclusi più volumi è possibile raccogliere informazioni sulla creazione di immagini del disco più rapidamente.

AWS KMS

Sistema AWS di gestione delle chiavi (AWS KMS) ti aiuta a creare e gestire chiavi crittografiche e a controllarne l'utilizzo in un'ampia gamma di servizi AWS e nelle tue applicazioni. Per linee guida generali su AWS SRA, consulta AWS KMS nella sezione account strumenti di sicurezza.

Come parte del processo forense, la raccolta dei dati e l'indagine devono essere eseguite in un ambiente isolato per ridurre al minimo l'impatto sull'azienda. Durante questo processo la sicurezza e l'integrità dei dati non possono essere compromesse e sarà necessario mettere in atto un processo per consentire la condivisione di risorse crittografate, come snapshot e volumi del disco, tra l'account potenzialmente compromesso e l'account per l'analisi forense. A tal fine, l'organizzazione dovrà assicurarsi che la policy delle risorse AWS KMS associata supporti la lettura dei dati crittografati e la protezione dei dati ricrittografandoli con una chiave AWS KMS nell'account per l'analisi forense.

Considerazione di natura progettuale

Le policy della chiave KMS di un'organizzazione dovrebbero consentire ai principali IAM autorizzati per l'analisi forense di utilizzare la chiave per decrittografare i dati nell'account di origine e ricrittografarli nell'account per l'analisi forense. Usa l'infrastructure as code (IaC) per gestire centralmente tutte le chiavi della tua organizzazione in AWS KMS al fine di garantire che solo i principali IAM autorizzati abbiano l'accesso appropriato e con il privilegio minimo. Queste autorizzazioni dovrebbero sussistere su tutte le chiavi KMS che possono essere utilizzate per crittografare le risorse su AWS che potrebbero essere raccolte durante un'indagine forense. Se aggiorni la policy della chiave KMS dopo un evento di sicurezza, è possibile che il successivo aggiornamento della policy delle risorse che utilizzano quella chiave KMS possa avere un impatto sulla tua attività. Inoltre, i problemi di autorizzazione possono aumentare il tempo medio di risposta (MTTR) complessivo per un evento di sicurezza.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

La sicurezza perimetrale

Gestione delle identità