SEC 10: Como você prevê, responde e se recupera de incidentes?

A preparação é essencial para investigação, resposta e recuperação oportunas e eficazes de incidentes de segurança para ajudar a minimizar interrupções na sua organização.

Recursos

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

Melhores práticas:

• Identificar o pessoal-chave e os recursos externos: Identifique o pessoal, as obrigações legais e os recursos internos e externos que ajudariam sua organização a responder a um incidente.

• Desenvolver planos de gerenciamento de incidentes: Crie planos para ajudar a responder, a se comunicar e a se recuperar de um incidente. Por exemplo, você pode começar com um plano de resposta a incidentes com os cenários mais prováveis para sua carga de trabalho e organização. Inclua como você se comunicaria e escalaria interna e externamente.

• Preparar recursos forenses: Identifique e prepare recursos de investigação forense adequados, incluindo especialistas externos, ferramentas e automação.

• Automatizar a capacidade de contenção: Automatize os recursos de contenção e recuperação de incidentes para reduzir o tempo de resposta e o impacto organizacional.

• Pré-provisionar o acesso: Certifique-se de que os respondentes a incidentes tenham o acesso correto pré-provisionado na AWS para reduzir o tempo de investigação até a recuperação.

• Pré-implantar ferramentas: Garanta que o pessoal de segurança tenha as ferramentas certas pré-implantadas na AWS para reduzir o tempo de investigação até a recuperação.

• Promova dias de jogo: Pratique dias de jogo de resposta a incidentes (simulações) regularmente, incorpore as lições aprendidas aos planos de gerenciamento de incidentes e melhore continuamente.

Plano de melhoria

Identificar o pessoal-chave e os recursos externos

Identificar o pessoal-chave da sua organização: Mantenha uma lista de contatos da sua organização que você precisaria acionar para responder e recuperar-se de um incidente.

Identifique parceiros externos: Entre em contato com parceiros externos, se necessário, que possam ajudá-lo a responder e se recuperar de um incidente.

Desenvolver planos de gerenciamento de incidentes

Analisar os recursos disponíveis: Os recursos da AWS e do setor estão disponíveis para uso.
AWS Security Incident Response Guide
NIST: Computer Security Incident Handling Guide

Desenvolver planos de resposta a incidentes: Playbooks fáceis de seguir devem detalhar as etapas a serem seguidas para resposta e recuperação de um incidente.

Desenvolva planos de escalonamento e comunicação: Os planos de escalonamento e comunicação devem incluir o pessoal de sua organização e partes externas que você deve notificar em cada estágio durante um incidente.

Desenvolva um plano de relações públicas externas: Desenvolva um plano de relações públicas para divulgar informações sobre um incidente.

Preparar recursos forenses

Identifique os recursos forenses: Pesquise os recursos de investigação forense da sua organização, as ferramentas disponíveis e os especialistas externos.
Automating Incident Response and Forensics

Automatizar a capacidade de contenção

Automatizar a capacidade de contenção

Pré-provisionar o acesso

Pré-provisionar o acesso: Para que uma resposta apropriada possa ser dada a um incidente, assegure que a equipe de segurança tenha o acesso correto pré-provisionado na AWS.

Pré-implantar ferramentas

Pré-implantar ferramentas: Para que uma resposta apropriada possa ser dada a um incidente, assegure que a equipe de segurança tenha as ferramentas certas pré-implantadas na AWS.
Lab: Incident response with AWS Management Console and CLI
Incident Response Playbook with Jupyter - AWS IAM
AWS Security Automation

Implementar a marcação de recursos: Marque recursos com informações, como um código para o recurso sob investigação, para facilitar a identificação de recursos durante um incidente.
AWS Tagging Strategies

Promova dias de jogo

Promova dias de jogo: Execute eventos simulados de resposta a incidentes (dias de jogo) para diferentes ameaças que envolvem equipe e gerenciamento importantes.

Guarde as lições aprendidas.: As lições aprendidas durante os dias de jogo devem fazer parte de uma análise de feedback para melhorar seus processos.