NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.
El primer paso en la respuesta ante incidentes es pensar en todas las circunstancias que no son deseables y definir cuál es el plan de acción en caso de que ocurran.
Por ejemplo, cuando hay un nuevo hallazgo de Amazon GuardDuty que informa sobre minería de bitcoins o conexiones salientes a direcciones IP de comand & control maliciosas desde instancias de Amazon EC2, se podría definir como plan de acción cambiar la configuración de los grupos de seguridad a una que no permita conexiones salientes y solo permita conexiones entrantes para acceso remoto (SSH/RDP) desde una dirección IP de la estación de trabajo utilizada por el equipo forense de incidentes.
Se recomienda establecer los escenarios en los que se deben tomar medidas y documentarlos en manuales de estrategias.
Tener un plan documentado ayuda con la coherencia y la escala, ya que cuando el recurso de seguridad más experimentado no está disponible (es decir, si está de vacaciones), si el plan está documentado, el personal subalterno puede responder de manera similar, siguiendo las instrucciones del recurso más calificado.
https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf
https://github.com/aws-samples/aws-customer-playbook-framework