Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Contenere
Quando si AWS Security Incident Response identifica una minaccia attiva nel proprio ambiente, il contenimento è la priorità immediata: impedire all'autore della minaccia di causare ulteriori danni, preservando al contempo le prove per le indagini. Il servizio esegue il contenimento attraverso azioni reversibili e automatizzate che isolano le risorse compromesse senza distruggerle. Per abilitare queste funzionalità, è necessario innanzitutto configurare le autorizzazioni e le preferenze richieste. Per informazioni, consulta Implementa ruoli di contenimento e triage EC2.
Processo decisionale in materia di contenimento
Una parte essenziale del contenimento è decidere se spegnere un sistema, isolare una risorsa dalla rete, revocare l'accesso o terminare le sessioni. AWS Security Incident Response fornisce la strategia di contenimento, vi informa sul potenziale impatto e vi guida nell'implementazione della soluzione solo dopo aver considerato e accettato i rischi connessi.
Queste decisioni diventano più facili quando si hanno strategie e procedure predeterminate. Il servizio utilizza una combinazione delle preferenze di contenimento (configurate durante l'onboarding), della natura della minaccia e dell'analisi in tempo reale per determinare la risposta appropriata.
Azioni di contenimento supportate
AWS Security Incident Response esegue azioni di contenimento per conto dell'utente per ridurre il tempo a disposizione dell'autore della minaccia per causare danni. Tutte le azioni di contenimento supportate sono reversibili. Il servizio può ripristinare la risorsa allo stato precedente al contenimento dopo la risoluzione dell'incidente. Le azioni di contenimento si riferiscono a tre tipi di risorse:
Amazon EC2 containment (AWSSupport-ContainEC2Instance) esegue un contenimento di rete reversibile di un'istanza Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2). L'istanza rimane in esecuzione e intatta, ma l'automazione la isola dalle nuove attività di rete e le impedisce di comunicare con risorse interne o esterne al tuo Amazon VPC sostituendo i gruppi di sicurezza dell'istanza con un gruppo di sicurezza di contenimento restrittivo. Le connessioni tracciate esistenti non vengono interrotte a seguito della modifica dei gruppi di sicurezza. Viene bloccato solo il traffico futuro.
IAM containment (AWSSupport-ContainIAMPrincipal) esegue un contenimento reversibile di un utente o di un ruolo AWS Identity and Access Management (IAM). Il principale rimane in IAM, ma l'automazione lo isola dalla comunicazione con le risorse dell'account allegando una politica di rifiuto totale. Ciò revoca di fatto la capacità del preside di intraprendere azioni, preservandola al contempo per l'esame forense.
Amazon S3 containment (AWSSupport-ContainS3Resource) esegue un contenimento reversibile di un bucket Amazon Simple Storage Service (Amazon S3). Gli oggetti rimangono nel bucket, ma l'automazione isola il bucket o l'oggetto modificandone le politiche di accesso per negare qualsiasi accesso esterno.
Sviluppare la tua strategia di contenimento
Prendi in considerazione strategie di contenimento per ogni tipo di evento importante che rientrino nella tua propensione al rischio. Documenta criteri chiari per facilitare il processo decisionale durante un evento. I criteri da considerare includono quanto segue:
Potenziali danni alle risorse
Conservazione delle prove e requisiti normativi
Indisponibilità del servizio (ad esempio, connettività di rete o servizi forniti a parti esterne)
Tempo e risorse necessari per implementare la strategia
Efficacia della strategia (contenimento parziale o totale)
Permanenza della soluzione (reversibile o irreversibile)
Durata della soluzione (soluzione alternativa di emergenza, soluzione temporanea o soluzione permanente)
Applica controlli di sicurezza che riducono i rischi e consenti il tempo necessario per definire e implementare una strategia di contenimento più efficace.
Approccio di contenimento graduale
AWS Security Incident Response utilizza un approccio graduale per raggiungere un contenimento efficiente ed efficace, che prevede strategie a breve e lungo termine basate sul tipo di risorsa. Short-termil contenimento si concentra sull'arresto immediato della minaccia attiva (isolamento di una rete, revoca delle credenziali), mentre il contenimento a lungo termine affronta la causa principale per evitare che si ripresenti una volta passato il pericolo immediato.
In che modo il contenimento è correlato al ciclo di vita dell'incidente
Il contenimento intercorre tra il ciclo di vita dell'incidente detection/analysis e l'eliminazione. Dopo che il triage automatico ha identificato una minaccia confermata o sospetta e creato un caso, il servizio determina se un'azione di contenimento è giustificata in base alle preferenze dell'utente e alla gravità dell'evento. Una volta individuata una risorsa, gli AWS Security Incident Response ingegneri continuano l'indagine, condividono con voi i risultati e vi guidano nelle fasi di eradicazione e recupero. Una volta che l'incidente è stato completamente risolto, le azioni di contenimento vengono annullate e le normali operazioni riprendono.