SEC 10: In che modo è possibile prevedere gli eventi, rispondervi e risolverli?

La preparazione è cruciale per un esame tempestivo ed efficace degli incidenti di sicurezza, nonché per la risposta e il ripristino, così da ridurre al minimo potenziali interruzioni dell'organizzazione.

Risorse

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

Best practice:

• Identificazione del personale chiave e delle risorse esterne: Identifica personale, risorse e requisiti legali interni ed esterni che potrebbero aiutare l'organizzazione a rispondere a un incidente.

• Sviluppo di piani di gestione degli incidenti: Crea piani che ti aiutino a rispondere a un incidente, comunicare durante lo stesso e ripristinare in seguito le risorse. Ad esempio, puoi avviare un piano di risposta agli incidenti con gli scenari più probabili per il carico di lavoro e l'organizzazione. Includi il modo in cui gestiresti la comunicazione e l'escalation internamente ed esternamente.

• Preparazione di funzionalità forensi: Identifica e prepara capacità di indagine forensi idonee, tra cui specialisti esterni, strumenti e automazione.

• Automatizzazione della capacità di contenimento: Automatizza il contenimento di un incidente e il successivo ripristino per ridurre i tempi di risposta e l'impatto sull'organizzazione.

• Preassegnazione dell'accesso: Assicurati che il team di risposta agli incidenti disponga del corretto accesso preassegnato ad AWS per ridurre i tempi di verifica fino al ripristino.

• Distribuzione anticipata degli strumenti: Assicurati che il personale addetto alla sicurezza disponga degli strumenti giusti pre-distribuiti in AWS per ridurre i tempi di verifica fino al ripristino.

• Esecuzione di giornate di gioco: Esercitati regolarmente con giornate di gioco (simulazioni) di risposta agli incidenti, integra i concetti appresi nei piani di gestione degli incidenti e cerca di migliorare costantemente.

Piano di miglioramento

Identificazione del personale chiave e delle risorse esterne

Identificazione del personale chiave all'interno dell'organizzazione: Conserva un elenco di contatti del personale interno alla tua organizzazione che potrebbe essere necessario coinvolgere per rispondere a un incidente ed effettuare il ripristino.

Identificazione dei partner esterni: Se necessario, coinvolgi partner esterni che possano aiutarti a rispondere a un incidente e a effettuare il ripristino.

Sviluppo di piani di gestione degli incidenti

Revisione delle risorse disponibili: AWS e le risorse del settore sono a tua disposizione.
AWS Security Incident Response Guide
NIST: Computer Security Incident Handling Guide

Sviluppo di playbook di risposta agli incidenti: Crea playbook facili da seguire in cui sono indicate dettagliatamente le procedure da adottare per rispondere a un incidente ed effettuare il ripristino.

Sviluppo di piani di escalation e comunicazione: I piani di escalation e comunicazione devono includere il personale della tua organizzazione e soggetti esterni da informare durante ciascuna fase di un incidente.

Sviluppo di un piano esterno di relazioni pubbliche: Sviluppa un piano di relazioni pubbliche per il rilascio di informazioni su un incidente.

Preparazione di funzionalità forensi

Identificazione delle funzionalità forensi: Ricerca le capacità di indagine forense della tua organizzazione, gli strumenti disponibili e gli specialisti esterni.
Automating Incident Response and Forensics

Automatizzazione della capacità di contenimento

Automatizzazione della capacità di contenimento

Preassegnazione dell'accesso

Preassegnazione dell'accesso: Verifica che il personale addetto alla sicurezza disponga del corretto accesso preassegnato in AWS affinché si possa implementare una risposta adeguata a un incidente.

Distribuzione anticipata degli strumenti

Distribuzione anticipata degli strumenti: Verifica che il personale addetto alla sicurezza disponga dei corretti strumenti pre-distribuiti in AWS affinché si possa implementare una risposta adeguata a un incidente.
Lab: Incident response with AWS Management Console and CLI
Incident Response Playbook with Jupyter - AWS IAM
AWS Security Automation

Implementazione dell'applicazione di tag: Applica tag alle risorse con informazioni, ad esempio un codice per la risorsa sottoposta a verifica, in modo da poter identificare le risorse durante un incidente.
AWS Tagging Strategies

Esecuzione di giornate di gioco

Esecuzione di giornate di gioco: Esegui eventi simulati di risposta agli incidenti (giornate di gioco) per diverse minacce che coinvolgono figure chiave del personale e della dirigenza.

Integrazione dei concetti appresi: I concetti appresi tramite l'esecuzione delle giornate di gioco devono essere integrati in attività di feedback per migliorare i processi.