SEC 10: ¿Cómo se anticipa, responde y recupera de los incidentes?

La preparación es esencial para la investigación, respuesta y recuperación oportuna y efectiva de incidentes de seguridad a fin de ayudar a minimizar la interrupción en su organización.

Recursos

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

Prácticas recomendadas:

• Identifique el personal clave y los recursos externos: Identifique el personal, los recursos y las obligaciones jurídicas internas y externas que ayudarían a su organización a responder ante un incidente.

• Desarrolle planes de administración de incidentes: Cree planes que lo ayuden a responder, comunicarse y recuperarse ante un incidente. Por ejemplo, puede comenzar a planificar la respuesta ante incidentes a partir de los escenarios más probables en función de la carga de trabajo y la organización. Incluya la forma en que se comunicaría y escalaría tanto interna como externamente.

• Prepare las capacidades forenses: Identifique y prepare las capacidades de investigación forense que sean adecuadas, incluidos los especialistas externos, las herramientas y la automatización.

• Automatice la capacidad de contención: Automatice la contención y la recuperación ante un incidente a fin de reducir los tiempos de respuesta y el impacto en la organización.

• Aprovisione con antelación el acceso: Asegúrese de que quienes responden a los incidentes tengan el acceso correcto aprovisionado con antelación en AWS a fin de reducir el tiempo que transcurre desde la investigación hasta la recuperación.

• Implemente herramientas con antelación: Asegúrese de que el personal de seguridad tenga las herramientas adecuadas previamente implementadas en AWS para reducir el tiempo que transcurre desde la investigación hasta la recuperación.

• Organice los días de prueba: Ejercite los días de prueba en respuesta a incidentes (simulaciones) regularmente, incorpore las lecciones aprendidas en los planes de administración de incidentes y mejore de manera continua.

Plan de mejora

Identifique el personal clave y los recursos externos

Identifique el personal clave en su organización: Mantenga una lista de contactos del personal en su organización que necesitaría involucrar para responder y recuperarse ante un incidente.

Identifique patrones externos: Si es necesario, interactúe con los patrones externos que pueden ayudarlo a responder y recuperarse ante un incidente.

Desarrolle planes de administración de incidentes

Revise los recursos disponibles: Los recursos del sector y de AWS están disponibles para su uso.
AWS Security Incident Response Guide
NIST: Computer Security Incident Handling Guide

Desarrolle manuales de estrategias de respuesta ante incidentes: Los manuales de estrategias fáciles de utilizar deben detallar los pasos que daría al responder y recuperarse ante un incidente.

Desarrolle planes de comunicaciones y escalamiento: Los planes de comunicaciones y escalamiento debe incluir al personal de su organización y a entidades externas que debe notificar en cada etapa durante un incidente.

Desarrolle un plan de relaciones públicas externas: Desarrolle un plan para las relaciones públicas a fin de divulgar información sobre el incidente.

Prepare las capacidades forenses

Identifique las capacidades forenses: Investigue las capacidades de investigación forense de su organización, las herramientas disponibles y los especialistas externos.
Automating Incident Response and Forensics

Automatice la capacidad de contención

Automatice la capacidad de contención

Aprovisione con antelación el acceso

Aprovisione con antelación el acceso: Asegúrese de que el personal de seguridad tenga el acceso correcto aprovisionado con antelación en AWS para dar una respuesta adecuada ante un incidente.

Implemente herramientas con antelación

Implemente herramientas con antelación: Asegúrese de que el personal de seguridad tenga las herramientas apropiadas previamente implementadas en AWS para dar una respuesta adecuada ante un incidente.
Lab: Incident response with AWS Management Console and CLI
Incident Response Playbook with Jupyter - AWS IAM
AWS Security Automation

Implemente el recurso de etiquetado: Etiquete los recursos con información, como un código para los recursos en investigación, para identificar los recursos durante un incidente.
AWS Tagging Strategies

Organice los días de prueba

Organice los días de prueba: Ejecute eventos de respuesta a incidentes simulados (días de prueba) ante diferentes amenazas que involucren al personal clave y la administración.

Capture las lecciones aprendidas: Las lecciones aprendidas mediante la organización de días de prueba deben ser parte de la retroalimentación a fin de mejorar los procesos.