View a markdown version of this page

Contenção - AWS Security Incident ResponseGuia do usuário do

Contenção

Quando o AWS Security Incident Response identificar uma ameaça ativa em seu ambiente, a contenção é a prioridade imediata: impedir que o agente causador da ameaça cause mais danos e, ao mesmo tempo, preserve as evidências para investigação. O serviço executa a contenção por meio de ações reversíveis e automatizadas que isolam os recursos comprometidos sem destruí-los. Para habilitar estes recursos, você deve primeiro configurar as permissões e preferências necessárias. Consulte Implantar perfis de contenção e triagem do EC2.

Tomada de decisões de contenção

Uma parte essencial da contenção é decidir desligar um sistema, isolar um recurso proveniente da rede, revogar acessos ou encerrar sessões. O AWS Security Incident Responsefornece a estratégia de contenção, informa sobre os possíveis impactos e orienta sobre a implementação da solução somente depois que você analisou e aceitou os riscos envolvidos.

Estas decisões se tornam mais fáceis quando você tem estratégias e procedimentos predeterminados. O serviço usa uma combinação de suas preferências de contenção (configuradas durante a integração), a natureza da ameaça e a análise em tempo real para determinar a resposta apropriada.

Ações de contenção compatíveis

O AWS Security Incident Response executa, em seu nome, ações de contenção para reduzir o tempo que um agente de ameaça pode dispor para causar danos. Todas as ações de contenção compatíveis são reversíveis. O serviço pode restaurar o recurso ao estado de pré-contenção após a resolução do incidente. As ações de contenção são mapeadas para três tipos de recursos:

A contenção do Amazon EC2 (AWSSupport-ContainEC2Instance) realiza uma contenção reversível da rede de uma instância do Amazon Elastic Compute Cloud (Amazon EC2). A instância permanece em execução e intacta, mas a automação a isola de novas atividades de rede e impede que ela se comunique com recursos dentro ou fora da Amazon VPC, substituindo os grupos de segurança da instância por um grupo de segurança de contenção restritivo. As conexões existentes, que já estejam sendo rastreadas, não são interrompidas em decorrência da modificação do grupo de segurança. Somente o tráfego futuro é bloqueado.

A contenção do IAM (AWSSupport-ContainIAMPrincipal) realiza uma contenção reversível de um usuário ou perfil do AWS Identity and Access Management (IAM). A entidade principal permanece no IAM, mas a automação o isola da comunicação com os recursos em sua conta ao anexar uma política de negação de tudo. Isto efetivamente revoga a capacidade da entidade principal de tomar medidas, preservando-a para revisão forense.

A contenção do Amazon S3 (AWSSupport-ContainS3Resource) realiza uma contenção reversível de um bucket do Amazon Simple Storage Service (Amazon S3). Os objetos permanecem no bucket, mas a automação isola o bucket ou o objeto modificando suas políticas de acesso para negar todo o acesso externo.

Como desenvolver sua estratégia de contenção

Considere estratégias de contenção para cada tipo de evento principal que estejam alinhadas ao seu apetite ao risco. Documente critérios claros para auxiliar no processo de tomada de decisão durante um evento. Os critérios a serem considerados incluem o seguinte:

  • Potenciais danos aos recursos.

  • Preservação de evidências e requisitos regulatórios.

  • Indisponibilidade de serviços (por exemplo, conectividade de rede ou serviços fornecidos para entidades externas).

  • Tempo e recursos necessários para implementar a estratégia.

  • Eficácia da estratégia (contenção parcial x total).

  • Permanência da solução (reversível x irreversível)

  • Duração da solução (solução alternativa de emergência, solução alternativa temporária ou solução definitiva)

Aplique controles de segurança que reduzam o risco e permitam tempo suficiente para a definição e implementação uma estratégia de contenção mais eficaz.

Abordagem de contenção em etapas

O AWS Security Incident Response usa uma abordagem em etapas para alcançar uma contenção eficiente e eficaz, envolvendo estratégias de curto e longo prazo, com base no tipo de recurso. A contenção de curto prazo se concentra em interromper imediatamente a ameaça ativa (isolar uma rede, revogar credenciais), enquanto a contenção de longo prazo aborda a causa raiz para evitar a recorrência após o perigo imediato passar.

Como a contenção se relaciona com o ciclo de vida do incidente

A contenção fica entre a detecção/análise e a erradicação no ciclo de vida do incidente. Depois que a triagem automatizada identifica uma ameaça confirmada ou suspeita e um caso é criado, o serviço determina se a ação de contenção é justificada com base em suas preferências e na gravidade do evento. Depois que um recurso é contido, os engenheiros do AWS Security Incident Response continuam a investigação, compartilham as descobertas com você e o orientam na erradicação e recuperação. Depois que o incidente for totalmente resolvido, as ações de contenção são revertidas e as operações normais são retomadas.