SEC10-BP02 Desenvolver planos de gerenciamento de incidentes - Framework Well-Architected da AWS
Orientação para implementaçãoRecursos

SEC10-BP02 Desenvolver planos de gerenciamento de incidentes

O primeiro documento a ser desenvolvido para resposta a incidentes é o plano de resposta a incidentes. O plano de resposta a incidentes foi projetado para ser a base de seu programa e estratégia de resposta a incidentes.

Benefícios de implementar esta prática recomendada: o desenvolvimento de processos de resposta a incidentes completos e claramente definidos é fundamental para um programa de resposta a incidentes bem-sucedido e escalável. Quando um evento de segurança ocorre, etapas e fluxos de trabalho claros poderão ajudar você a responder em tempo hábil. Talvez você já tenha processos de resposta a incidentes existentes. Independentemente do seu estado atual, é importante atualizar, repetir e testar seus processos de resposta a incidentes regularmente.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Um plano de gerenciamento de incidentes é fundamental para responder, mitigar e se recuperar de possíveis impactos de incidentes de segurança. Um plano de gerenciamento de incidentes é um processo estruturado de identificação, correção e resposta em tempo hábil a incidentes de segurança.

A nuvem tem muitos dos mesmos requisitos e perfis operacionais encontrados em um ambiente on-premises. Ao criar um plano de gerenciamento de incidentes, é importante definir estratégias de resposta e recuperação que se alinhem melhor aos seus resultados empresariais e requisitos de conformidade. Por exemplo, se você opera workloads na AWS em conformidade com o FedRAMP dos Estados Unidos, siga as recomendações em NIST SP 800-61 Computer Security Handling Guide. Da mesma forma, ao operar workloads que armazenam informações de identificação pessoal (PII), considere como se proteger e responder a incidentes relacionados ao uso e à residência de dados.

Ao criar um plano de gerenciamento de incidentes para suas workloads na AWS, comece com o Modelo de responsabilidade compartilhada da AWS para criar uma abordagem de defesa aprofundada para a resposta a incidentes. Nesse modelo, a AWS gerencia a segurança da nuvem, e você é responsável pela segurança na nuvem. Isso significa que você mantém o controle e é responsável pelos controles de segurança que escolhe implementar. O Guia de resposta a incidentes de segurança da AWS detalha os conceitos e as orientações básicas para criar um plano de gerenciamento de incidentes centrado na nuvem.

Um plano de gerenciamento de incidentes eficaz deve ser continuamente trabalhado e permanecer atualizado com relação às suas metas de operações na nuvem. Considere o uso dos planos de implementação detalhados abaixo à medida que cria e evolui seu plano de gerenciamento de incidentes.

Etapas de implementação

  1. Defina funções e responsabilidades em sua organização para lidar com eventos de segurança. Isso deve envolver representantes de vários departamentos, incluindo:

    • Recursos humanos (RH)

    • Equipe executiva

    • Departamento jurídico

    • Proprietários e desenvolvedores de aplicações (especialistas no assunto, ou SMEs)

  2. Descreva claramente quem é responsável, consultado e informado (RACI) durante um incidente. Crie um gráfico RACI para facilitar a comunicação rápida e direta e descreva claramente a liderança em diferentes estágios de um evento.

  3. Envolva proprietários e desenvolvedores de aplicações (SMEs) durante um incidente, pois eles podem fornecer informações e contexto valiosos para ajudar a medir o impacto. Desenvolva relacionamentos com esses SMEs e pratique cenários de resposta a incidentes com eles antes que um incidente real ocorra.

  4. Envolva parceiros confiáveis ou especialistas externos no processo de investigação ou resposta, pois eles podem oferecer experiência e perspectiva adicionais.

  5. Alinhe seus planos e funções de gerenciamento de incidentes com quaisquer regulamentações locais ou requisitos de conformidade que regem sua organização.

  6. Pratique e teste seus planos de resposta a incidentes regularmente e envolva todas as funções e responsabilidades definidas. Isso ajuda a agilizar o processo e a verificar se você tem uma resposta coordenada e eficiente aos incidentes de segurança.

  7. Revise e atualize as funções, responsabilidades e o gráfico RACI periodicamente ou à medida que sua estrutura organizacional ou requisitos mudarem.

Entender as equipes de resposta e o suporte da AWS

  • AWS Support

    • O AWS Support oferece uma variedade de planos que permitem conceder acesso a ferramentas e conhecimentos que oferecem suporte ao sucesso e à integridade operacional das soluções da AWS. Se precisar de suporte técnico e mais recursos para ajudar a planejar, implantar e otimizar seu ambiente da AWS, selecione um plano de suporte mais adequado ao seu caso de uso da AWS.

    • Considere o Support Center no AWS Management Console (é necessário iniciar sessão) como ponto central de contato para obter suporte para problemas que afetam seus recursos da AWS. O acesso ao AWS Support é controlado pelo AWS Identity and Access Management. Para mais informações sobre como obter acesso aos recursos da AWS Support, consulte Conceitos básicos do AWS Support.

  • Equipe de Resposta a Incidentes de Clientes (CIRT) da AWS

    • A Equipe de Resposta a Incidentes de Clientes (CIRT) da AWS é uma equipe global da AWS especializada que está disponível 24 horas por dia, 7 dias por semana, para prestar assistência aos clientes durante eventos de segurança ativos no lado do cliente do Modelo de responsabilidade compartilhada da AWS.

    • Ao apoiar você, a CIRT da AWS presta assistência na triagem e na recuperação de um evento de segurança ativo na AWS. A equipe pode ajudar na análise da causa-raiz por meio do uso de logs de serviço da AWS e fornecer recomendações para recuperação. Ela também podem fornecer recomendações de segurança e práticas recomendadas para ajudar você a evitar eventos de segurança no futuro.

    • Os clientes da AWS podem solicita a ajuda da CIRT da AWS por meio de um caso do AWS Support

  • Suporte de resposta a DDoS

    • A AWS oferece o AWS Shield, que fornece um serviço gerenciado de proteção contra negação de serviço distribuída (DDoS) para proteger aplicações Web executadas na AWS. O Shield fornece detecção permanente e mitigações automáticas em linha que podem minimizar o tempo de inatividade e a latência das aplicações para que não seja necessário envolver o AWS Support para usufruir da proteção contra DDoS. O Shield possui dois níveis: AWS Shield Standard e AWS Shield Advanced. Para saber mais sobre as diferenças entre esses dois níveis, consulte a Documentação de recursos do Shield.

  • AWS Managed Services (AMS)

    • O AWS Managed Services (AMS) oferece gerenciamento contínuo de sua infraestrutura da AWS para que você possa se concentrar em suas aplicações. Ao implementar práticas recomendadas para manter sua infraestrutura, o AMS ajuda a reduzir a sobrecarga e os riscos operacionais. O AMS automatiza atividades comuns, como solicitações de alteração, monitoramento, gerenciamento de patches, segurança e serviços de backup, além de disponibilizar serviços de ciclo de vida total para provisionar, executar e apoiar a sua infraestrutura.

    • O AMS assume a responsabilidade de implantar um pacote de controles de detecção de segurança e fornece uma primeira linha de resposta aos alertas 24 horas por dia, 7 dias por semana. Quando um alerta é iniciado, o AMS segue um conjunto padrão de guias e playbooks automatizados para verificar uma resposta consistente. Esses playbooks são compartilhados com os clientes do AMS durante a integração para que eles possam desenvolver e coordenar uma resposta com o AMS.

Desenvolva o plano de resposta a incidentes

O plano de resposta a incidentes foi projetado para ser a base de seu programa e estratégia de resposta a incidentes. O plano de resposta a incidentes deve estar em um documento formal. Um plano de resposta a incidentes geralmente inclui as seguintes seções:

  • Visão geral da equipe de resposta a incidentes: descreve as metas e funções da equipe de resposta a incidentes.

  • Papéis e responsabilidades: lista as partes interessadas na resposta a incidentes e detalha seus papéis quando um incidente ocorre.

  • Plano de comunicação: detalha as informações de contato e como você se comunica durante um incidente.

  • Métodos de comunicação de backup: é prática recomendada ter comunicação fora de banda como backup para a comunicação de incidentes. Um exemplo de aplicação que fornece um canal seguro de comunicação fora de banda é AWS Wickr.

  • Fases da resposta a incidentes e ações necessárias: enumera as fases da resposta a incidentes (por exemplo, detectar, analisar, erradicar, conter e recuperar), incluindo ações de alto nível a serem realizadas nessas fases.

  • Definições de severidade e priorização de incidentes: detalha como classificar a severidade de um incidente, como priorizar o incidente e, depois, como as definições de severidade afetam os procedimentos de escalação.

Embora essas seções sejam comuns em empresas de diferentes tamanhos e setores, o plano de resposta a incidentes de cada organização é único. Você precisa criar um plano de resposta a incidentes que funcione melhor para a organização.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados: