Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
SEC10-BP03 Preparare le capacità forensi
Prima che si verifichi un incidente di sicurezza, puoi sviluppare funzionalità forensi per supportare le indagini sugli eventi di sicurezza.
Livello di rischio associato se questa best practice non fosse adottata: medio
Si applicano i concetti della tradizionale analisi forense locale a. AWS Per informazioni chiave su cui iniziare a sviluppare funzionalità di analisi forense in Cloud AWS, vedere Strategie dell'ambiente di indagine forense
Una volta configurati l'ambiente e la Account AWS struttura per le indagini forensi, definisci le tecnologie necessarie per eseguire efficacemente metodologie valide dal punto di vista forense nelle quattro fasi:
-
Raccolta: raccogli i AWS log pertinenti, ad esempio i log di VPC flusso e i log a AWS CloudTrail livello di AWS Config host. Raccogli istantanee, backup e dump di memoria delle risorse interessate, ove disponibili. AWS
-
Esame: rivedi i dati raccolti estraendo e valutando le informazioni pertinenti.
-
Analisi: analizza i dati raccolti per comprendere l'incidente e trarre le conclusioni.
-
Creazione di report: presenta le informazioni risultanti dalla fase di analisi.
Passaggi dell'implementazione
Preparazione dell'ambiente per le funzionalità forensi
AWS Organizations
Per la risposta agli incidenti, è utile disporre di una Account AWS struttura che supporti le funzioni di risposta agli incidenti, che includa un'unità organizzativa di sicurezza e un'unità organizzativa forense. All'interno dell'unità organizzativa di sicurezza, è necessario disporre degli account per:
-
Archiviazione dei log: aggrega i log in un archivio di log con autorizzazioni limitate. Account AWS
-
Strumenti di sicurezza: centralizza i servizi di sicurezza in uno strumento di sicurezza. Account AWS Questo account funge da amministratore delegato per i servizi di sicurezza.
Nell'unità organizzativa con funzionalità forensi, puoi implementare uno o più account con funzionalità forensi per ciascuna regione in cui operi, a seconda di quale è più adatta all'azienda e al modello operativo. Se crei un account forense per regione, puoi bloccare la creazione di AWS risorse al di fuori di tale regione e ridurre il rischio che le risorse vengano copiate in un'area non prevista. Ad esempio, se operi solo nella regione degli Stati Uniti orientali (Virginia settentrionale) (us-east-1
) e Stati Uniti occidentali (Oregon) (us-west-2
), nell'unità organizzativa con funzionalità forensi avrai due account: uno per us-east-1
e uno per us-west-2
.
È possibile creare un'analisi Account AWS forense per più regioni. Dovresti prestare attenzione nel copiare AWS le risorse su quell'account per verificare che tu stia rispettando i requisiti di sovranità dei dati. Poiché la creazione di nuovi account richiede tempo, è fondamentale creare e fornire gli strumenti adatti agli account con funzionalità forensi con largo anticipo rispetto agli incidenti, in modo che gli addetti siano preparati a utilizzarli in modo efficace per la risposta.
Il diagramma seguente mostra una struttura degli account di esempio che include un'unità organizzativa con funzionalità forensi con account con funzionalità forensi per regione:
Acquisizione di backup e snapshot
La configurazione dei backup di sistemi e database importanti è fondamentale per il ripristino da un incidente di sicurezza e per scopi forensi. Grazie ai backup puoi ripristinare i tuoi sistemi allo stato di sicurezza precedente. Sì AWS, puoi scattare istantanee di varie risorse. Le istantanee forniscono copie di point-in-time backup di tali risorse. Esistono molti AWS servizi in grado di supportarti nelle operazioni di backup e ripristino. Per informazioni dettagliate su questi servizi e approcci per il backup e il ripristino, consulta la guida prescrittiva per il backup e il ripristino e Use backups to recover from security incidents
Soprattutto in situazioni come un attacco ransomware, è fondamentale che i backup siano ben protetti. Per indicazioni sulla protezione dei backup, consulta Top 10 security best practices for securing backups in AWS
Automazione delle funzionalità forensi
Durante un evento di sicurezza, il tuo team di risposta agli incidenti deve essere in grado di raccogliere e analizzare rapidamente le prove, mantenendo al contempo l'accuratezza per il periodo di tempo che circonda l'evento (ad esempio acquisendo i log relativi a un evento o una risorsa specifici o raccogliendo il dump della memoria di un'istanza Amazon). EC2 Per il team addetto a rispondere agli incidenti è difficile e dispendioso in termini di tempo raccogliere manualmente le prove pertinenti, soprattutto se istanze e account sono numerosi. Inoltre, la raccolta manuale può essere soggetta all'errore umano. Per questi motivi, occorre sviluppare e implementare il più possibile l'automazione per le funzionalità forensi.
AWS offre una serie di risorse di automazione per l'analisi forense, elencate nella seguente sezione Risorse. Queste risorse sono esempi di modelli di funzionalità forensi che abbiamo sviluppato, implementate dai clienti Sebbene costituiscano un'utile architettura di riferimento per iniziare, prendi in considerazione la possibilità di modificarli o creare nuovi modelli di automazione per le funzionalità forensi in base ad ambiente, requisiti, strumenti e processi forensi.
Risorse
Documenti correlati:
Video correlati:
Esempi correlati: