Análise forense no contexto da resposta a incidentes de segurança Conta de análise forense Amazon GuardDuty AWS Security Hub Amazon EventBridge AWS Step Functions AWS Lambda AWS KMS

Análise forense cibernética

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa

No âmbito do AWS SRA, adotamos a seguinte definição de análise forense, conforme fornecida pelo National Institute of Standards and Technology (NIST): "a aplicação da ciência à identificação, coleta, exame e análise de dados, preservando a integridade da informação e mantendo uma cadeia de custódia rigorosa para os dados" (fonte: NIST Special Publication 800-86 - Guia para a integração de técnicas forenses na resposta a incidentes).

Análise forense no contexto da resposta a incidentes de segurança

A orientação de resposta a incidentes (IR) nesta seção é fornecida somente no contexto de análise forense e de como diferentes serviços e soluções podem melhorar o processo de IR.

O Guia de resposta a incidentes de segurança da AWS lista as melhores práticas para responder a incidentes de segurança na Nuvem AWS, com base nas experiências da Equipe de resposta a incidentes de clientes da AWS (AWS CIRT). Para obter orientações adicionais sobre o AWS CIRT, consulte os workshops do AWS CIRT e lições do AWS CIRT.

O Framework de Cibersegurança do National Institute of Standards and Technology (NIST CSF) delineia quatro fases no ciclo de vida da resposta a incidentes: preparação; detecção e análise; contenção, erradicação e recuperação; e atividade pós-incidente. Essas etapas podem ser implantadas sequencialmente. No entanto, essa sequência geralmente é cíclica porque algumas das etapas precisam ser repetidas após passar para a próxima etapa do ciclo. Por exemplo, após a contenção e a erradicação, você precisa analisar novamente para confirmar que conseguiu remover o adversário do ambiente.

Esse ciclo repetido de análise, contenção, erradicação e retorno à análise permite que você colete mais informações sempre que novos indicadores de comprometimento (IoCs) são detectados. Eles IoCs são úteis sob várias perspectivas. Eles fornecem uma história das medidas tomadas pelo adversário para comprometer seu ambiente. Além disso, ao conduzir uma análise apropriada pós-incidente, é possível aprimorar as defesas e detecções para prevenir futuros incidentes ou identificar as ações do adversário com maior rapidez, minimizando assim o impacto.

Embora o processo de resposta a incidentes (IR) não seja o foco principal da análise forense, muitas ferramentas, técnicas e melhores práticas são compartilhadas com o IR, especialmente na fase de análise. Por exemplo, após a detecção de um incidente, o processo de coleta forense reúne evidências. Em seguida, o exame e a análise de evidências podem ajudar a extrair IoCs. Ao final, os relatórios forenses podem auxiliar nas atividades pós-IR.

Sugerimos automatizar o processo forense tanto quanto possível para agilizar a resposta e aliviar a carga sobre as partes envolvidas na resposta a incidentes (IR). Além disso, é possível incorporar análises automatizadas adicionais após a conclusão do processo de coleta forense e o armazenamento seguro das evidências para evitar qualquer contaminação. Para mais detalhes, consulte o guia "Automatize a resposta a incidentes e a análise forense" no site das Recomendações da AWS.

Considerações sobre design

Para melhorar sua preparação para a segurança de IR:

Habilite e armazene com segurança registros que possam ser necessários durante uma investigação ou resposta a incidentes.
Pré-crie consultas para cenários conhecidos e forneça formas automatizadas de pesquisar registros. Considere usar o Amazon Detective.
Prepare suas ferramentas de IR executando simulações.
Teste regularmente os processos de backup e recuperação para garantir que sejam bem-sucedidos.
Use manuais baseados em cenários, começando com possíveis eventos comuns relacionados à AWS com base nas descobertas da Amazon. GuardDuty Para obter informações sobre como criar seus próprios playbooks, consulte a seção de atributos do Playbook do guia do AWS Security Incident Response.

Conta de análise forense

Isenção de responsabilidade

A descrição a seguir de uma conta forense da AWS deve ser utilizada apenas como ponto de partida, cabendo às organizações desenvolverem suas próprias capacidades de análise forense com base na orientação de seus consultores jurídicos.

Não garantimos a adequação desta orientação para detecção ou investigação de crimes, nem a capacidade dos dados ou evidências de análise forense capturados por meio desta orientação serem utilizados em um tribunal. É crucial avaliar de forma independente a adequação das melhores práticas descritas aqui para o seu caso de uso.

O diagrama abaixo ilustra os serviços de segurança da AWS que podem ser configurados em uma conta de análise forense dedicada. Para contextualizar, o diagrama mostra a conta do Security Tooling para descrever os serviços da AWS usados para fornecer detecção ou notificações na conta de análise forense.

A conta de análise forense é um tipo distinto e dedicado de conta do Security Tooling localizado dentro da Organizational Unit (OU) de Segurança. O propósito da conta de análise forense é oferecer uma sala limpa padrão, pré-configurada e repetível para possibilitar que a equipe forense de uma organização execute todas as fases do processo de análise forense: coleta, exame, análise e geração de relatórios. Além disso, o processo de quarentena e isolamento dos recursos dentro do escopo também está integrado a essa conta.

Agrupar todo o processo de análise forense em uma conta separada permite a aplicação de controles de acesso adicionais aos dados de análise forense coletados e armazenados. Recomendamos que você separe as contas de análise forense e do Security Tooling pelos seguintes motivos:

Os atributos de análise forense e de segurança podem estar em equipes diferentes ou ter permissões diferentes.
A conta do Security Tooling pode ter automação focada em responder a eventos de segurança no ambiente de gerenciamento da AWS, como habilitar o Bloqueio de acesso público do Amazon S3 para buckets do S3, enquanto a conta de análise forense também inclui artefatos do plano de dados da AWS pelos quais o cliente pode ser responsável, como dados específicos do sistema operacional (SO) ou do aplicativo em uma instância do EC2.
Pode ser necessário implementar restrições de acesso adicionais ou retenções legais, dependendo dos requisitos organizacionais ou regulamentares.
O processo de análise forense pode envolver a investigação de códigos maliciosos, como malware, em um ambiente seguro, conforme estipulado nos termos de serviço da AWS.

A conta de análise forense deve incorporar automação para agilizar a coleta de evidências em grande escala, minimizando, ao mesmo tempo, a intervenção humana no processo de coleta de análise forense. A automação para responder e isolar atributos também deve ser incluída nessa conta para simplificar os mecanismos de rastreamento e geração de relatórios.

Os atributos forenses mencionados nesta seção devem ser implantados em todas as regiões disponíveis da AWS, mesmo que sua organização não esteja ativamente utilizando essas regiões. Se você não planeja usar regiões específicas da AWS, é aconselhável aplicar uma Política de Controle de Serviços (SCP) para restringir o provisionamento de atributos da AWS. Além disso, manter as investigações e o armazenamento de artefatos forenses na mesma região auxilia na prevenção de problemas relacionados a alterações nas políticas regulatórias sobre a residência e a propriedade de dados.

Essa orientação usa a conta de arquivamento de logs, conforme descrito anteriormente, para registrar ações realizadas no ambiente por meio de APIs da AWS, incluindo as APIs que você executa na conta de análise forense. Ter esses registros pode ajudar a evitar alegações de manuseio incorreto ou adulteração de artefatos. Dependendo do nível de detalhe que você habilita (consulte Eventos de gerenciamento de registros e Eventos de dados de registro na CloudTrail documentação da AWS), os registros podem incluir informações sobre a conta usada para coletar os artefatos, a hora em que os artefatos foram coletados e as etapas tomadas para coletar os dados. Ao armazenar artefatos no Amazon S3, também é possível empregar controles de acesso avançados e registrar informações sobre quem teve acesso aos objetos. Um registro minucioso das ações permite que outros reproduzam o processo posteriormente, se necessário (presumindo que os recursos no escopo ainda estejam disponíveis).

Considerações sobre design

A automação é útil quando você tem muitos incidentes simultâneos, pois ajuda a acelerar e escalar a coleta de evidências vitais. No entanto, você deve avaliar cuidadosamente esses benefícios. Por exemplo, no caso de um incidente de falso positivo, uma resposta forense totalmente automatizada pode impactar negativamente um processo de negócios que é compatível com uma workload da AWS no escopo. Para obter mais informações, consulte as considerações de design para AWS GuardDuty, AWS Security Hub e AWS Step Functions nas seções a seguir.
Recomendamos contas distintas para ferramentas de segurança e análise forense, mesmo que os recursos de análise forense e de segurança da sua organização estejam sob a mesma equipe, e todas as funções possam ser desempenhadas por qualquer membro da equipe. Dividir as funções em contas separadas proporciona privilégio mínimo, ajuda a evitar a contaminação por meio de uma análise contínua de eventos de segurança e reforça a integridade dos artefatos coletados.
Se desejar enfatizar ainda mais a separação de responsabilidades, privilégios mínimos e barreiras de proteção restritivas, você pode criar uma Organizational Unit (OU) de análise forense separada para hospedar essa conta.
Se a sua organização utiliza atributos de infraestrutura imutável, é possível que informações com valor forense sejam perdidas se um atributo for excluído automaticamente (por exemplo, durante um evento de redução de escala) antes que um incidente de segurança seja detectado. Para evitar isso, considere executar um processo de coleta forense para cada um desses atributos. Para reduzir o volume de dados coletados, você pode considerar fatores como ambientes, importância comercial da workload, tipo de dados processados e assim por diante.
Considere usar WorkSpaces a Amazon para criar estações de trabalho limpas. Isso pode ajudar a separar as ações das partes interessadas durante uma investigação.

Amazon GuardDuty

GuardDutyA Amazon é um serviço de detecção que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger suas contas e cargas de trabalho da AWS. Para obter orientações gerais sobre o AWS SRA, consulte Amazon GuardDuty na seção de contas de ferramentas de segurança.

Você pode usar GuardDuty as descobertas para iniciar o fluxo de trabalho forense que captura imagens de disco e memória de instâncias do EC2 potencialmente comprometidas. Isso reduz a interação humana e pode aumentar significativamente a velocidade da coleta de dados forenses. Você pode se integrar GuardDuty à Amazon EventBridge para automatizar as respostas às novas GuardDuty descobertas.

A lista de tipos de GuardDuty descoberta está crescendo. Você deve avaliar quais tipos de eventos de descoberta (por exemplo, Amazon EC2, Amazon EKS, proteção contra malware, etc.) devem iniciar o fluxo de trabalho forense.

Você pode automatizar totalmente a integração do processo de contenção e coleta de dados forenses com GuardDuty descobertas para capturar a investigação de artefatos de disco e memória e colocar instâncias EC2 em quarentena. Por exemplo, ao remover todas as regras de entrada e saída de um grupo de segurança, é possível aplicar uma ACL de rede para interromper as conexões existentes e anexar uma política do IAM para negar todas as solicitações.

Considerações sobre design

Dependendo do serviço da AWS, a responsabilidade compartilhada do cliente pode variar. Por exemplo, a captura de dados voláteis em instâncias do EC2 só é possível na própria instância e pode incluir dados valiosos que podem servir como evidência forense. Por outro lado, responder e investigar uma descoberta para o Amazon S3 envolve principalmente dados ou registros de acesso ao CloudTrail Amazon S3. A automação da resposta deve ser estruturada nas contas de análise forense e do Security Tooling levando em consideração a responsabilidade compartilhada do cliente, o fluxo geral do processo e os artefatos capturados que necessitam de proteção.
Antes de colocar em quarentena uma instância do EC2, avalie seu impacto geral nos negócios e sua criticidade. É aconselhável estabelecer um processo no qual as partes interessadas pertinentes sejam consultadas antes da utilização da automação para conter a instância do EC2.

AWS Security Hub

O AWS Security Hub oferece uma perspectiva abrangente do estado de segurança na AWS e auxilia na avaliação do ambiente de acordo com os padrões e as práticas recomendadas do setor de segurança. Ele reúne dados de segurança de serviços integrados da AWS, produtos de terceiros compatíveis e outros produtos de segurança personalizados que você pode utilizar. O Security Hub facilita a análise das tendências de segurança e a identificação dos problemas de segurança de maior prioridade. Para obter orientações gerais sobre o AWS SRA, consulte AWS Security Hub na seção de contas do Security Tooling.

Além de monitorar sua postura de segurança, o Security Hub oferece suporte à integração com EventBridge a Amazon para automatizar a correção de descobertas específicas. Por exemplo, é possível definir ações personalizadas que agendam a execução de uma função do AWS Lambda ou de um fluxo de trabalho do AWS Step Functions para implementar um processo forense.

As ações personalizadas do Security Hub proporcionam um mecanismo padronizado para que analistas ou recursos de segurança autorizados realizem contenção e automação forense. Isso reduz as interações humanas no processo de contenção e na captura de evidências forenses. Um ponto de verificação manual pode ser adicionado ao processo automatizado para confirmar a necessidade real de uma coleta forense.

Considerações sobre design

O Security Hub pode ser integrado a diversos serviços, incluindo soluções de parceiros da AWS. Se a sua organização utiliza controles de segurança de detecção que não estão totalmente ajustados e ocasionalmente geram alertas de falsos positivos, a automação completa do processo de coleta forense resultaria na execução desnecessária desse processo.

Amazon EventBridge

EventBridgeA Amazon é um serviço de barramento de eventos sem servidor que facilita a conexão de seus aplicativos com dados de várias fontes. É frequentemente usado na automação de segurança. Para obter orientações gerais sobre o AWS SRA, consulte Amazon EventBridge na seção de contas de ferramentas de segurança.

Por exemplo, você pode usar EventBridge como um mecanismo para iniciar um fluxo de trabalho forense no Step Functions para capturar imagens de disco e memória com base em detecções de ferramentas de monitoramento de segurança, como. GuardDuty Ou você pode usá-lo de uma forma mais manual: EventBridge pode detectar eventos de alteração de tag em CloudTrail, o que pode iniciar o fluxo de trabalho forense em Step Functions.

AWS Step Functions

O AWS Step Functions é um serviço de orquestração sem servidor que permite combinar funções do AWS Lambda e outros serviços da AWS para criar aplicações essenciais aos negócios. No console gráfico do Step Functions, você vê o fluxo de trabalho do seu aplicativo como uma série de etapas orientadas por eventos. O Step Functions é baseado em máquinas e tarefas de estado. Em Step Functions, um fluxo de trabalho é chamado de máquina de estado, que é uma série de etapas orientadas por eventos. Cada etapa em um fluxo de trabalho é chamada de estado. Um estado de Tarefa representa uma unidade de trabalho que outro serviço da AWS, como o Lambda, executa. Um estado de Tarefa pode chamar qualquer serviço ou API da AWS. Os controles integrados no Step Functions permitem que você analise o estado de cada etapa em seu fluxo de trabalho, garantindo que cada etapa seja executada na ordem correta e conforme o esperado. Dependendo do seu caso de uso específico, é possível configurar o Step Functions para chamar serviços da AWS, como o Lambda, para realizar tarefas necessárias. Além disso, você tem a capacidade de criar fluxos de trabalho automatizados e de longa duração para aplicativos que exigem interação humana.

O Step Functions é ideal para ser utilizado em processos forenses, pois suporta um conjunto repetível e automatizado de etapas predefinidas que podem ser rastreadas por meio de registros da AWS. Isso proporciona a vantagem de excluir qualquer envolvimento humano, reduzindo possíveis erros no processo forense.

Considerações sobre design

Você pode iniciar um fluxo de trabalho do Step Functions manual ou automaticamente para capturar e analisar dados de segurança quando GuardDuty o Security Hub indicar um comprometimento. A automação, com intervenção mínima ou nenhuma interação humana, capacita a equipe a responder rapidamente a eventos significativos de segurança que possam impactar diversos recursos.
Para restringir fluxos de trabalho totalmente automatizados, é possível incorporar etapas no fluxo de automação que exigem intervenção manual. Por exemplo, pode-se solicitar que um analista de segurança autorizado ou membro da equipe revise as descobertas de segurança geradas e decida se é necessário iniciar uma coleta de evidências forenses, colocar em quarentena ou conter os recursos afetados, ou ambas as ações.
Se você quiser iniciar uma investigação forense sem uma descoberta ativa criada a partir de ferramentas de segurança (como o Security GuardDuty Hub), você deve implementar integrações adicionais para invocar um fluxo de trabalho forense do Step Functions. Isso pode ser feito criando uma EventBridge regra que procure um CloudTrail evento específico (como um evento de alteração de tag) ou permitindo que um analista de segurança ou membro da equipe inicie um fluxo de trabalho forense do Step Functions diretamente do console. Você também pode usar o Step Functions para criar tickets acionáveis integrando-os ao sistema de tickets da sua organização.

AWS Lambda

Com o AWS Lambda, você pode executar código sem provisionar ou gerenciar servidores. Você paga apenas pelo tempo de computação consumido. Não haverá cobranças quando seu código não estiver em execução. O Lambda executa o seu código em uma infraestrutura de computação altamente disponível e gerencia integralmente os recursos computacionais, incluindo manutenção do servidor e do sistema operacional, provisionamento e escalabilidade automática da capacidade, bem como o registro de logs do código. Você fornece seu código em uma dos runtimes de linguagens compatíveis com o Lambda e, em seguida, organiza seu código em funções do Lambda. O serviço do Lambda executa a função somente quando necessário e escala automaticamente.

Ao fornecer o seu código em um dos runtimes de linguagens suportadas pelo Lambda e organizá-lo em funções específicas, você pode utilizar as funções Lambda para realizar etapas repetíveis, automatizadas e predefinidas em uma investigação forense. Durante a execução de uma função do Lambda, é gerado um log que facilita a verificação da implementação adequada do processo.

Considerações sobre design

As funções do Lambda possuem um limite de tempo de execução de 15 minutos, o que pode ser insuficiente para processos forenses abrangentes que demandam mais tempo para a coleta de evidências relevantes. Diante disso, é aconselhável orquestrar o seu processo forense utilizando funções do Lambda integradas a um fluxo de trabalho do Step Functions. O fluxo de trabalho possibilita a criação de funções do Lambda em uma sequência adequada, com cada função do Lambda executando uma etapa de coleta específica.
Ao organizar as suas funções forenses do Lambda em um fluxo de trabalho do Step Functions, é possível executar partes do procedimento de coleta forense de forma paralela, agilizando o processo. Por exemplo, a coleta de informações sobre a criação de imagens de disco pode ser realizada de maneira mais rápida quando vários volumes estão incluídos no escopo.

AWS KMS

O AWS Key Management Service (AWS KMS) ajuda você a criar e gerenciar chaves criptográficas e controlar seu uso em uma ampla variedade de serviços da da AWS e em suas aplicações. Para obter orientações gerais sobre o AWS SRA, consulte Amazon KMS na seção de contas do Security Tooling.

Como parte do processo de análise forense, a coleta e a investigação de dados devem ser feitas em um ambiente isolado para minimizar o impacto nos negócios. Durante esse processo, é imperativo assegurar a segurança e integridade dos dados, sendo necessário implementar um procedimento para viabilizar o compartilhamento de recursos criptografados, como instantâneos e volumes de disco, entre a conta potencialmente comprometida e a conta de análise forense. Para isso, é essencial que a política de recursos associada ao AWS Key Management Service (KMS) ofereça suporte à leitura dos dados criptografados, ao mesmo tempo em que protege esses dados por meio de sua recriptografia com uma chave do AWS KMS na conta de análise forense.

Considerações sobre design

As políticas de chaves do KMS de uma organização devem permitir que principais autorizados do IAM para análise forense usem a chave para descriptografar dados na conta de origem e recriptografá-los na conta forense. Recomenda-se a utilização da infraestrutura como código (IaC) para gerenciar centralmente todas as chaves da organização no AWS KMS, visando garantir que apenas os principais autorizados do IAM tenham acesso apropriado e com privilégios mínimos. Essas permissões devem ser aplicadas em todas as chaves do KMS que podem ser utilizadas para criptografar atributos na AWS que possam ser coletados durante uma investigação de análise forense. Caso haja uma atualização na política de chaves do KMS após um incidente de segurança, a subsequente atualização da política de recursos para uma chave do KMS em uso pode impactar a organização. Além disso, problemas de permissão podem aumentar o tempo médio geral de resposta (MTTR) de um evento de segurança.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Segurança perimetral

Gerenciamento de identidades