Respuesta a emergencias de incidentes de aplicaciones en la nube y notificación y remediación

Debido a la naturaleza de la computación en la nube, es más difícil determinar cuándo los incidentes de seguridad, la corrupción de datos u otras necesidades deben investigarse y tomarse medidas. Con el fin de satisfacer las necesidades cambiantes de las mismas responsabilidades de informes, el mecanismo de respuesta a incidentes de seguridad estándar debe modificarse. Este artículo proporciona orientación sobre cómo manejar estos eventos.

Para los clientes, las aplicaciones implementadas en la nube no siempre ponen en primer lugar la integridad de los datos y el diseño de seguridad. Esto puede llevar a la implementación de aplicaciones vulnerables en el entorno de la nube, lo que puede provocar incidentes de seguridad. Además, los defectos en la infraestructura, los errores en los procedimientos de endurecimiento y la simple negligencia operativa pueden representar una amenaza importante para la operación de los servicios en la nube. Por supuesto, vulnerabilidades similares también pueden poner en peligro el funcionamiento de los centros de datos tradicionales.

Obviamente, el procesamiento de eventos requiere experiencia técnica, pero los expertos en privacidad y legales pueden hacer una contribución significativa a la seguridad de la nube. En la respuesta al incidente, también desempeñan un papel clave en las notificaciones, soluciones y acciones legales posteriores que pueden tomarse. Si una organización considera el uso de servicios en la nube, debe revisar si se han implementado los mecanismos para el acceso de los empleados a datos que no están sujetos a acuerdos de usuario y políticas de privacidad. En la arquitectura de IaaS y PaaS, la aplicación propia del proveedor de servicios en la nube no administra los datos de la aplicación, que es diferente de los datos de control de la aplicación del proveedor de SaaS.

La complejidad de la entrega de grandes servicios de SaaS, PaaS e IaaS a grandes proveedores de servicios en la nube crea una posible respuesta a incidentes, y los clientes potenciales deben evaluar el nivel aceptable del SLA correspondiente. Al evaluar los proveedores de servicios en la nube, es importante darse cuenta de que los proveedores pueden alojar cientos o miles de instancias de aplicaciones. Desde la perspectiva del monitoreo de eventos, cualquier aplicación externa ampliará la responsabilidad del Centro de Operaciones de Seguridad (SOC). Normalmente, los SOC supervisan las métricas que generan advertencias y otros eventos de los sistemas de detección de intrusos y cortafuegos, pero la cantidad de fuentes y anuncios que se deben monitorear en un entorno de nube abierta aumentará exponencialmente, por ejemplo, el SOC puede requerir Monitorear las actividades entre consumidores y eventos externos.

Una organización necesita comprender la estrategia de respuesta a incidentes del proveedor de servicios en la nube de su elección. Esta estrategia debe abordar la identificación y la notificación, así como las opciones de remediación para el acceso no autorizado a los datos de la aplicación. Más complicado es que la administración y el acceso a los datos de la aplicación tienen diferentes significados y requisitos regulatorios en diferentes ubicaciones de almacenamiento de datos. Por ejemplo, si los datos involucrados están en Alemania, hay un evento, pero la forma en que los datos están en los Estados Unidos puede no considerarse un "evento". Esto hace que la identificación del evento sea un desafío.

Sugerencias

Antes de implementar el servicio, los clientes de la nube deben estar claramente definidos y comunicarse con el proveedor de servicios de la nube, lo que creen que es el incidente (como la corrupción de datos), lo que es solo un evento (evento).

El compromiso del cliente en la nube con los proveedores de servicios en la nube puede tener actividades de respuesta a incidentes muy limitadas. Por lo tanto, es fundamental que los clientes entiendan la ruta de comunicación establecida con el equipo de respuesta a incidentes del proveedor de servicios en la nube.

Los clientes de la nube deben investigar qué herramientas de detección y análisis de eventos utilizan los proveedores de servicios en la nube para asegurarse de que sean compatibles con sus sistemas. En las investigaciones conjuntas, especialmente aquellas que involucran investigaciones legales o intervenciones gubernamentales, un registro privado o muy genérico de un proveedor de servicios en la nube suele ser un obstáculo importante. El diseño y la protección de aplicaciones y sistemas inapropiados pueden "inundar" fácilmente la capacidad de respuesta de los eventos de todos. La gestión adecuada de los riesgos del sistema y el uso de prácticas de defensa en profundidad son clave para reducir las posibilidades de un incidente de seguridad en primer lugar.

El Centro de Operaciones de Seguridad (SOC) a menudo asume que solo hay un modelo de gobierno único para la respuesta a incidentes, pero esto no es apropiado para los proveedores de servicios de nube de múltiples inquilinos. Un proceso robusto y bien mantenido de administración de eventos e información de seguridad (SIEM) para identificar las fuentes de datos disponibles (registros de aplicaciones, registros de firewall, registros de IDS, etc.) e incorporarlos a SOC para detectar eventos del entorno de computación en la nube. Plataforma de alarma de análisis universal.

Para el análisis fuera de línea más conveniente y detallado, puede consultar a los proveedores de servicios en la nube que brindan la capacidad de tomar instantáneas de todo el entorno virtual del cliente, incluidos los firewalls, redes (switches), aplicaciones del sistema y datos.

La contención es una carrera entre el control de la destrucción y la recopilación de pruebas. El enfoque de contención de Trinity basado en la confidencialidad-integridad-disponibilidad (CIA) es efectivo. ?

Remediation resalta la importancia de poder restaurar un sistema a un estado anterior, incluso requiriendo un retorno a la configuración disponible conocida hace 6 meses o 12 meses. Teniendo en cuenta las opciones y requisitos legales, la reparación también puede requerir un registro "forense" que admita datos de eventos.

Todos los datos clasificados como "privados" debido a la supervisión de fugas de datos deben cifrarse para reducir las consecuencias de los eventos de fugas. Los clientes deben especificar los requisitos de cifrado relevantes en el contrato, consulte D11.?

Algunos proveedores de servicios en la nube pueden tener una gran cantidad de clientes con aplicaciones únicas. Para poder proporcionar eventos detallados a cada cliente específico, estos proveedores de servicios en la nube deben considerar el marco de registro de la capa de aplicación. Estos proveedores de servicios en la nube también deben crear un registro que registre a los propietarios de aplicaciones por interfaz de la aplicación (URL, servicios SOA, etc.). ?

En un entorno de múltiples inquilinos, los firewalls a nivel de aplicación, los servidores proxy y otras herramientas de registro de aplicaciones son capacidades clave que están disponibles actualmente para ayudar con la respuesta a incidentes.

Resumen

Para los clientes, las aplicaciones implementadas en la nube no siempre ponen en primer lugar la integridad de los datos y el diseño de seguridad. Esto puede llevar a la implementación de aplicaciones vulnerables en el entorno de la nube, lo que puede provocar incidentes de seguridad. Además, los defectos en la infraestructura, los errores en los procedimientos de endurecimiento y la simple negligencia operativa pueden representar una amenaza importante para la operación de los servicios en la nube. Por supuesto, vulnerabilidades similares también pueden poner en peligro el funcionamiento de los centros de datos tradicionales.