Lições aprendidas na risco de frente de resposta a incidentes: Kyle Dickinson, equipe de resposta a incidentes do cliente (CIRT), AWS…
00:29:46
Lições aprendidas na risco de frente de resposta a incidentes: Kyle Dickinson, equipe de resposta a incidentes do cliente (CIRT), AWS…
[vid_tags]
#lições #aprendidas #risco #frente #resposta #incidentes #Eventos #AWS
– Ei. Sou Kyle Dickinson, trabalho na equipe de resposta a incidentes de clientes da AWS. E hoje falarei com vocês sobre as lições aprendidas na linha de frente da resposta a incidentes. Abordaremos quem somos, por que estamos aqui, causas comuns para eventos de segurança do cliente, padrões de segurança para reduzir os riscos do cliente e, em seguida, para onde ir a seguir. Quem é a equipe de resposta a incidentes do cliente? Bem, somos uma equipe composta por serviços profissionais, consultores de segurança e arquitetos de soluções que ajudam os clientes no lado do cliente do modelo de responsabilidade compartilhada para eventos de segurança ativos. Daremos suporte a nossos clientes com triagem e recuperação ativas, ajudaremos na análise de causa raiz e análise de log nos logs de serviço da AWS, incluindo rastreamento de nuvem, logs de fluxo de VPC, logs do resolvedor de rota 53, além de fornecer recomendações para nossos clientes recuperar a longo prazo após o evento de segurança. A razão pela qual estamos aqui é porque os clientes são desafiados com prevenção, detecção, análise e resposta a eventos de segurança 24 horas por dia, 7 dias por semana. E os clientes estão buscando as habilidades e conhecimentos certos da AWS, juntamente com as melhores práticas para atender às suas necessidades de resposta de segurança. Então, estamos aqui porque queremos compartilhar nossas experiências para ver nossos clientes se destacarem na prevenção e detecção de eventos dentro da nuvem. Olhando para o modelo de responsabilidade compartilhada da AWS, temos a segurança na nuvem, que é gerenciada pelos clientes, e depois a segurança da nuvem, que é gerenciada pela AWS. Agora, quando olhamos para isso de uma perspectiva de serviço por serviço, também temos responsabilidades variadas. Então, dentro dos serviços de infraestrutura, pensando no EC2, o responsável pelo cliente desde o sistema operacional do escritório para cima. Então temos serviços de contêiner, e isso não é exatamente Docker ou Kubernetes, mas onde a AWS lida com o sistema operacional e a plataforma em execução nele. E, finalmente, analisamos os serviços abstratos, em que o cliente precisa decidir para onde vão os dados, quem tem acesso a eles, se a criptografia de dados do lado do cliente está habilitada e o motivo pelo qual queremos considerá-los uma responsabilidade variável, pois bem porque a saída de log para cada serviço irá variar dependendo do serviço utilizado. Portanto, é uma boa prática entender qual registro está disponível para os serviços que serão utilizados em sua organização. Quando olhamos para as diferentes responsabilidades do cliente, queremos destacar algumas das mais importantes, como todas as atividades que ocorrem em sua conta são de sua responsabilidade, incluindo acesso não autorizado. E falaremos sobre a causa raiz de eventos de segurança comuns mais tarde e como evitá-los, mas apenas entendendo que isso está no lado do cliente do modelo de responsabilidade compartilhada. O cliente também é responsável por configurar e aproveitar adequadamente um serviço da AWS. Em segundo lugar, também queremos ter em mente que manter o e-mail da conta raiz da AWS atualizado para notificações é uma responsabilidade do cliente e, em seguida, tomar as medidas apropriadas para proteger, proteger e fazer backup de sua conta, dados e conteúdo, bem como não divulgar login credenciais e chaves de acesso a terceiros não autorizados. Diferentes métodos que podemos procurar para diferentes recursos para ajudar os clientes a responder a eventos de segurança são encontrados na metodologia de resposta a incidentes ou no guia de resposta a incidentes de segurança da AWS, e isso permite que você revise as etapas que adotamos na AWS, como preparar e prevenir, detectar e avaliar a recuperação de triagem de impacto e investigar a causa raiz. Este guia está repleto de informações e ajuda com a estrutura de como lidar com eventos de segurança na AWS para capacitar suas equipes de segurança. Agora, de forma mais prescritiva, dentro da estrutura de resposta ao cliente da AWS, que está disponível no GitHub, temos uma coleção de arquivos que fornecem uma estrutura de exemplo para você criar, desenvolver e integrar diferentes playbooks de segurança em preparação para possíveis eventos de segurança ao usar a AWS Serviços. Temos modelos disponíveis para credenciais de IAM comprometidas, negação de serviço, recursos públicos inapropriados, pensando em S3 e RDS, alterações de rede não autorizadas, Bitcoin e crypto jacking, bem como resposta a resgate dentro da AWS. Outra ferramenta que temos disponível é o habilitador de log assistido, e essa ferramenta permite que você revise sua conta para ver qual log de nível de serviço não está habilitado e habilite-o, e indo um passo adiante, ele oferece suporte ao modo de várias contas utilizando organizações da AWS e portanto, se você precisar habilitar logs de fluxo de VPC, trilha de nuvem, auditoria de EK e logs de autenticador ou logs de resolvedor de rota 53, essa ferramenta permitirá que você os habilite e adicione escala também. Além de habilitar as fontes de registro que podem ser revisadas para análise, temos o bootstrap de análise de segurança, que é um método de configuração rápida para configurar o Athena, que cria um ambiente de análise totalmente configurado, bem como consultas de exemplo do Athena, e quando olhamos em conjuntos de dados maiores, já que o Athena está utilizando S3 a
