Automatizar la mayoría de los Playbooks, incluyendo los avanzados

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

En la nube, el grado de automatización en respuesta a incidentes que se puede alcanzar es muy superior al posible on-prem, ya que normalmente se cuenta con toda la información requerida para la toma de decisiones en un proceso de respuesta ante incidentes, el registro completo de las llamadas en AWS CloudTrail, el inventario de configuraciones y sus cambios en AWS Config, y AWS EventBridge (o AWS CloudWatch Events) que permiten integrar los servicios, logrando activar flujos de respuesta ante determinados eventos.

En el siguiente video verán a modo de ejemplo un proceso de respuesta ante incidentes avanzado que puede automatizarse para ejecutarse en minutos.

Mitigación de riesgos

  • Durante un incidente de seguridad activo, el tiempo que tarda el personal de respuesta a incidentes en reunir evidencia forense y contener la amenaza es fundamental para reducir el impacto del incidente. Las automatizaciones pueden ayudar a acelerar la respuesta ante este incidente

Guía para evaluar su grado de alineación

  • ¿Tiene una forma automatizada de recopilar información forense sobre un recurso comprometido (como una instancia EC2)?
  • ¿Tiene una forma automatizada de aislar un recurso informático comprometido?
  • ¿Ha probado correctamente su automatización?
  • Si implica aprobaciones humanas: ¿La aprobación se otorga a varias personas? ¿Existe un acuerdo de nivel de servicio con escalamientos para tomar la decisión?
  • Si NO implica aprobaciones humanas: ¿Se considera que el proceso comercial asociado con el activo evita causar más daño que beneficio mientras se aísla automáticamente un activo?