O primeiro passo para responder aos incidentes é pensar antes de cada circunstância indesejável, qual o plano a executar em cada caso.
Por exemplo, ao encontrar um Amazon GuardDuty que relata mineração de bitcoin ou conexões com IPs de controle remoto mal-intencionados (Comando e Controle) de instâncias do Amazon EC2, como uma ação de resposta definimos para alterar os security groups das instâncias adicionando um security group que não permita conexões de saída e só permita conexões de acesso remoto de entrada (SSH / RDP) do IP que a estação de trabalho da equipe de investigação forense possui.
Recomenda-se estabelecer os cenários sobre os quais eles devem agir, defini-los, documentá-los (runbooks: procedimentos / playbooks: processos de investigação), e testá-los através de exercícios (table-top) para testar se a equipe (blue team) sabe como responder de acordo com as diretrizes corporativas.
Ter o plano documentado ajuda a que quando o recurso mais qualificado em resposta a incidentes não estiver disponível (por exemplo, se estiverem de férias), a equipe júnior possa responder de forma semelhante, seguindo as instruções do recurso mais qualificado.
Um plano de resposta não exercido é o mesmo que um backup que nunca teve um teste de restauração … você não sabe se ele realmente funcionará corretamente até tentar.
A seguir, compartilho alguns recursos complementares para ajudar com ideias sobre descobertas e seus runbooks.
https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf
https://github.com/aws-samples/aws-customer-playbook-framework