SEC10-BP03 Preparare le capacità forensi - AWS Well-Architected Framework

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SEC10-BP03 Preparare le capacità forensi

Prima che si verifichi un incidente di sicurezza, puoi sviluppare funzionalità forensi per supportare le indagini sugli eventi di sicurezza.

Livello di rischio associato se questa best practice non fosse adottata: medio

Si applicano i concetti della tradizionale analisi forense locale a. AWS Per informazioni chiave su cui iniziare a sviluppare funzionalità di analisi forense in Cloud AWS, vedere Strategie dell'ambiente di indagine forense in. Cloud AWS

Una volta configurati l'ambiente e la Account AWS struttura per le indagini forensi, definisci le tecnologie necessarie per eseguire efficacemente metodologie valide dal punto di vista forense nelle quattro fasi:

  • Raccolta: raccogli i AWS log pertinenti, ad esempio i log di VPC flusso e i log a AWS CloudTrail livello di AWS Config host. Raccogli istantanee, backup e dump di memoria delle risorse interessate, ove disponibili. AWS

  • Esame: rivedi i dati raccolti estraendo e valutando le informazioni pertinenti.

  • Analisi: analizza i dati raccolti per comprendere l'incidente e trarre le conclusioni.

  • Creazione di report: presenta le informazioni risultanti dalla fase di analisi.

Passaggi dell'implementazione

Preparazione dell'ambiente per le funzionalità forensi

AWS Organizationsti aiuta a gestire e governare centralmente un AWS ambiente man mano che cresci e scalerai le risorse. AWS Un' AWS organizzazione consolida le tue Account AWS in modo che tu possa amministrarle come una singola unità. È possibile utilizzare le unità organizzative (OUs) per raggruppare gli account e amministrarli come un'unica unità.

Per la risposta agli incidenti, è utile disporre di una Account AWS struttura che supporti le funzioni di risposta agli incidenti, che includa un'unità organizzativa di sicurezza e un'unità organizzativa forense. All'interno dell'unità organizzativa di sicurezza, è necessario disporre degli account per:

  • Archiviazione dei log: aggrega i log in un archivio di log con autorizzazioni limitate. Account AWS

  • Strumenti di sicurezza: centralizza i servizi di sicurezza in uno strumento di sicurezza. Account AWS Questo account funge da amministratore delegato per i servizi di sicurezza.

Nell'unità organizzativa con funzionalità forensi, puoi implementare uno o più account con funzionalità forensi per ciascuna regione in cui operi, a seconda di quale è più adatta all'azienda e al modello operativo. Se crei un account forense per regione, puoi bloccare la creazione di AWS risorse al di fuori di tale regione e ridurre il rischio che le risorse vengano copiate in un'area non prevista. Ad esempio, se operi solo nella regione degli Stati Uniti orientali (Virginia settentrionale) (us-east-1) e Stati Uniti occidentali (Oregon) (us-west-2), nell'unità organizzativa con funzionalità forensi avrai due account: uno per us-east-1 e uno per us-west-2.

È possibile creare un'analisi Account AWS forense per più regioni. Dovresti prestare attenzione nel copiare AWS le risorse su quell'account per verificare che tu stia rispettando i requisiti di sovranità dei dati. Poiché la creazione di nuovi account richiede tempo, è fondamentale creare e fornire gli strumenti adatti agli account con funzionalità forensi con largo anticipo rispetto agli incidenti, in modo che gli addetti siano preparati a utilizzarli in modo efficace per la risposta.

Il diagramma seguente mostra una struttura degli account di esempio che include un'unità organizzativa con funzionalità forensi con account con funzionalità forensi per regione:

Diagramma di flusso che mostra la struttura degli account per regione per la risposta agli incidenti, suddivisa nelle unità organizzative di sicurezza e con funzionalità forensi.

Struttura degli account per regione per la risposta agli incidenti

Acquisizione di backup e snapshot

La configurazione dei backup di sistemi e database importanti è fondamentale per il ripristino da un incidente di sicurezza e per scopi forensi. Grazie ai backup puoi ripristinare i tuoi sistemi allo stato di sicurezza precedente. Sì AWS, puoi scattare istantanee di varie risorse. Le istantanee forniscono copie di point-in-time backup di tali risorse. Esistono molti AWS servizi in grado di supportarti nelle operazioni di backup e ripristino. Per informazioni dettagliate su questi servizi e approcci per il backup e il ripristino, consulta la guida prescrittiva per il backup e il ripristino e Use backups to recover from security incidents.

Soprattutto in situazioni come un attacco ransomware, è fondamentale che i backup siano ben protetti. Per indicazioni sulla protezione dei backup, consulta Top 10 security best practices for securing backups in AWS. Oltre a proteggere i backup, è necessario sottoporli regolarmente a processi di backup e ripristino per verificare che tecnologia e procedure in uso funzionino come previsto.

Automazione delle funzionalità forensi

Durante un evento di sicurezza, il tuo team di risposta agli incidenti deve essere in grado di raccogliere e analizzare rapidamente le prove, mantenendo al contempo l'accuratezza per il periodo di tempo che circonda l'evento (ad esempio acquisendo i log relativi a un evento o una risorsa specifici o raccogliendo il dump della memoria di un'istanza Amazon). EC2 Per il team addetto a rispondere agli incidenti è difficile e dispendioso in termini di tempo raccogliere manualmente le prove pertinenti, soprattutto se istanze e account sono numerosi. Inoltre, la raccolta manuale può essere soggetta all'errore umano. Per questi motivi, occorre sviluppare e implementare il più possibile l'automazione per le funzionalità forensi.

AWS offre una serie di risorse di automazione per l'analisi forense, elencate nella seguente sezione Risorse. Queste risorse sono esempi di modelli di funzionalità forensi che abbiamo sviluppato, implementate dai clienti Sebbene costituiscano un'utile architettura di riferimento per iniziare, prendi in considerazione la possibilità di modificarli o creare nuovi modelli di automazione per le funzionalità forensi in base ad ambiente, requisiti, strumenti e processi forensi.

Risorse

Documenti correlati:

Video correlati:

Esempi correlati: