View a markdown version of this page

Mengandung - Respons Insiden Keamanan AWS Panduan Pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengandung

Ketika Respons Insiden Keamanan AWS mengidentifikasi ancaman aktif di lingkungan Anda, penahanan adalah prioritas langsung: hentikan aktor ancaman dari menyebabkan kerusakan lebih lanjut sambil melestarikan bukti untuk penyelidikan. Layanan ini menjalankan penahanan melalui tindakan otomatis yang dapat dibalik yang mengisolasi sumber daya yang dikompromikan tanpa menghancurkannya. Untuk mengaktifkan kemampuan ini, Anda harus terlebih dahulu mengonfigurasi izin dan preferensi yang diperlukan. Lihat Menyebarkan peran penahanan dan EC2 Triage.

Pengambilan keputusan penahanan

Bagian penting dari penahanan adalah memutuskan apakah akan mematikan sistem, mengisolasi sumber daya dari jaringan, mencabut akses, atau mengakhiri sesi. Respons Insiden Keamanan AWS menyediakan strategi penahanan, memberi tahu Anda tentang dampak potensial, dan memandu Anda untuk menerapkan solusi hanya setelah Anda mempertimbangkan dan menyetujui risiko yang terlibat.

Keputusan ini menjadi lebih mudah ketika Anda memiliki strategi dan prosedur yang telah ditentukan. Layanan ini menggunakan kombinasi preferensi penahanan Anda (dikonfigurasi selama orientasi), sifat ancaman, dan analisis waktu nyata untuk menentukan respons yang sesuai.

Tindakan penahanan yang didukung

Respons Insiden Keamanan AWS menjalankan tindakan penahanan atas nama Anda untuk mengurangi waktu aktor ancaman harus menyebabkan kerusakan. Semua tindakan penahanan yang didukung dapat dibalik. Layanan dapat mengembalikan sumber daya ke keadaan pra-penahanannya setelah insiden diselesaikan. Tindakan penahanan memetakan ke tiga jenis sumber daya:

Amazon EC2 containment (AWSSupport-ContainEC2Instance) melakukan penahanan jaringan reversibel dari instans Amazon Elastic Compute Cloud (Amazon EC2). Instans tetap berjalan dan utuh, tetapi otomatisasi mengisolasinya dari aktivitas jaringan baru dan mencegahnya berkomunikasi dengan sumber daya di dalam atau di luar VPC Amazon Anda dengan mengganti grup keamanan instans dengan grup keamanan penahanan yang membatasi. Koneksi yang dilacak yang ada tidak dimatikan sebagai akibat dari perubahan grup keamanan. Hanya lalu lintas future yang diblokir.

IAM containment (AWSSupport-ContainIAMPrincipal) melakukan penahanan reversibel dari pengguna atau peran AWS Identity and Access Management (IAM). Prinsipal tetap di IAM, tetapi otomatisasi mengisolasinya dari berkomunikasi dengan sumber daya di akun Anda dengan melampirkan kebijakan penolakan semua. Ini secara efektif mencabut kemampuan kepala sekolah untuk mengambil tindakan sambil melestarikannya untuk tinjauan forensik.

Penahanan Amazon S3 (AWSSupport-ContainS3Resource) melakukan penahanan reversibel dari bucket Amazon Simple Storage Service (Amazon S3). Objek tetap berada di bucket, tetapi otomatisasi mengisolasi bucket atau objek dengan memodifikasi kebijakan aksesnya untuk menolak semua akses eksternal.

Mengembangkan strategi penahanan Anda

Pertimbangkan strategi penahanan untuk setiap jenis acara besar yang sesuai dengan selera risiko Anda. Dokumentasikan kriteria yang jelas untuk membantu pengambilan keputusan selama suatu acara. Kriteria yang perlu dipertimbangkan meliputi:

  • Potensi kerusakan sumber daya

  • Pelestarian bukti dan persyaratan peraturan

  • Ketidaktersediaan layanan (misalnya, konektivitas jaringan atau layanan yang diberikan kepada pihak eksternal)

  • Waktu dan sumber daya yang dibutuhkan untuk mengimplementasikan strategi

  • Efektivitas strategi (penahanan sebagian versus penuh)

  • Permanen solusi (reversibel versus ireversibel)

  • Durasi solusi (solusi darurat, solusi sementara, atau solusi permanen)

Menerapkan kontrol keamanan yang menurunkan risiko dan memberikan waktu untuk menentukan dan menerapkan strategi penahanan yang lebih efektif.

Pendekatan penahanan bertahap

Respons Insiden Keamanan AWS menggunakan pendekatan bertahap untuk mencapai penahanan yang efisien dan efektif, yang melibatkan strategi jangka pendek dan jangka panjang berdasarkan jenis sumber daya. Short-termpenahanan berfokus pada segera menghentikan ancaman aktif (mengisolasi jaringan, mencabut kredensil), sementara penahanan jangka panjang membahas akar penyebab untuk mencegah terulangnya kembali setelah bahaya langsung berlalu.

Bagaimana penahanan berhubungan dengan siklus hidup insiden

Penahanan berada di antara detection/analysis dan pemberantasan dalam siklus hidup insiden. Setelah triase otomatis mengidentifikasi ancaman yang dikonfirmasi atau dicurigai dan kasus dibuat, layanan menentukan apakah tindakan penahanan dijamin berdasarkan preferensi Anda dan tingkat keparahan kejadian. Setelah sumber daya terkandung, Respons Insiden Keamanan AWS para insinyur melanjutkan penyelidikan, berbagi temuan dengan Anda, dan memandu Anda melalui pemberantasan dan pemulihan. Setelah insiden diselesaikan sepenuhnya, tindakan penahanan dibalik dan operasi normal dilanjutkan.