SEC 10: Wie können Sie Vorfälle voraussagen, darauf reagieren und diese beheben?

Die Vorbereitung ist entscheidend für eine rechtzeitige und effektive Untersuchung, Reaktion auf und Wiederherstellung nach Sicherheitsvorfällen, um Unterbrechungen der Geschäftsabläufe zu minimieren.

Ressourcen

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

Bewährte Methoden:

• Ermitteln von wichtigen personellen und externen Ressourcen: Ermitteln Sie interne und externe Mitarbeiter und Ressourcen, die bei Auftreten eines Vorfalls reagieren können.

• Entwickeln von Vorfallmanagementplänen: Erstellen Sie Pläne, die Ihnen helfen, auf einen Vorfall zu reagieren, während des Vorfalls zu kommunizieren und im Anschluss den ursprünglichen Zustand wiederherzustellen. Beispielsweise können Sie einen Vorfallreaktionsplan mit den wahrscheinlichsten Szenarien für Ihren Workload und Ihre Organsation starten. Diese Pläne sollten Vorgehensweisen zur internen und externen Kommunikation und Eskalation enthalten.

• Vorbereiten forensischer Funktionen: Identifizieren und bereiten Sie forensische Untersuchungsfunktionen vor, die geeignet sind, und beziehen Sie externe Spezialisten, Tools und Automatisierung mit ein.

• Automatische Eingrenzung: Automatisieren Sie die Eingrenzung eines Vorfalls und die Wiederherstellung, um die Reaktionszeiten und Auswirkungen auf Ihr Unternehmen zu reduzieren.

• Vorab bereitgestellter Zugriff: Stellen Sie sicher, dass Notfallteams über den richtigen Zugriff auf AWS verfügen, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.

• Vorabbereitstellen von Tools: Stellen Sie sicher, dass Sicherheitspersonal über die richtigen Tools in AWS vorab verfügt, um die Zeit von der Untersuchung bis zur Wiederherstellung zu verkürzen.

• Üben für den Ernstfall: Führen Sie regelmäßig eine Übung des Ernstfalls durch (Simulation), arbeiten Sie daraus gewonnene Erkenntnisse in die Vorfallmanagementpläne ein und verbessern Sie kontinuierlich Ihre Verfahren.

Verbesserungsplan

Ermitteln von wichtigen personellen und externen Ressourcen

Ermitteln von Personal in Schlüsselfunktionen im Unternehmen: Pflegen Sie eine Kontaktliste mit Mitarbeitern Ihres Unternehmens, die bei Eintreten eines Vorfalls hinzugezogen werden müssen, um darauf zu reagieren und die Sicherheit wiederherzustellen.

Ermitteln externer Partner: Beauftragen Sie gegebenenfalls externe Partner, die bei der Reaktion auf einen Vorfall und bei der Wiederherstellung der Sicherheit behilflich sein können.

Entwickeln von Vorfallmanagementplänen

Überprüfen der verfügbaren Ressourcen: Ihnen stehen AWS- und Branchenressourcen zur Verfügung.
AWS Security Incident Response Guide
NIST: Computer Security Incident Handling Guide

Entwickeln von Playbooks für die Reaktion auf Vorfälle: Playbooks müssen leicht verständliche Anleitungen enthalten, die detailliert beschreiben, wie auf einen Vorfall zu reagieren ist und wie die Sicherheit wiederhergestellt wird.

Erarbeiten von Eskalations- und Kommunikationsplänen: Eskalation- und Kommunikationspläne müssen Mitarbeiter Ihres Unternehmens und externe Parteien enthalten, die in jeder Phase des Vorfalls benachrichtigt werden müssen.

Erarbeiten eines externen PR-Plans: Erarbeiten Sie einen Plan für die Öffentlichkeitsarbeit, mit dem Informationen über einen Vorfall veröffentlicht werden.

Vorbereiten forensischer Funktionen

Ermitteln forensischer Kapazitäten: Recherchieren Sie die forensischen Untersuchungskapazitäten in Ihrem Unternehmen, verfügbare Tools und externe Spezialisten.
Automating Incident Response and Forensics

Automatische Eingrenzung

Automatische Eingrenzung

Vorab bereitgestellter Zugriff

Vorab bereitgestellter Zugriff: Stellen Sie sicher, dass für das Sicherheitspersonal die geeigneten Zugriffsberechtigungen in AWS vorab bereitgestellt sind, damit bei einem Vorfall eine entsprechende Reaktion erfolgen kann.

Vorabbereitstellen von Tools

Vorabbereitstellen von Tools: Stellen Sie sicher, dass in AWS die richtigen Tools für das Sicherheitspersonal vorab bereitgestellt wurden, damit bei einem Vorfall eine entsprechende Reaktion erfolgen kann.
Lab: Incident response with AWS Management Console and CLI
Incident Response Playbook with Jupyter - AWS IAM
AWS Security Automation

Implementieren von Ressourcen-Tagging: Markieren Sie Ressourcen mit Informationen, z. B. einem Code für die zu untersuchende Ressource, damit Sie Ressourcen während eines Vorfalls identifizieren können.
AWS Tagging Strategies

Üben für den Ernstfall

Üben für den Ernstfall: Führen Sie simulierte Ereignisse zu Reaktionen auf Vorfälle durch (Übungen für den Ernstfall) und spielen Sie dabei verschiedene Bedrohungen durch, die Personal in Schlüsselpositionen und das Management involvieren.

Erfassen von Erkenntnissen: Die aus den Ernstfallübungen gewonnenen Erkenntnisse sollten als Feedback einfließen, um die Verfahren zu verbessern.