Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:incident_response_u_aws_okruzenju [2025/01/06 14:25]
Žgela Ivan Dodane slike i reference u literaturi
+++ racfor_wiki:seminari2024:incident_response_u_aws_okruzenju [2025/01/26 16:17] (trenutno)
Žgela Ivan [Alati za detekciju i obradu sigurnosnih incidenata u AWS okruženju]
@@ Redak 1: / Redak 1: @@
 ===== Incident response u AWS okruženju =====
+[[https://ferhr-my.sharepoint.com/:v:/g/personal/iz53036_fer_hr/EWTG7LujlAJLmL7MdIWHQCwBo7HVpzpP3d_Pqy0VjpiSRA?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D&e=IRgRJM|Videoprezentacija]]
+==== Sažetak ====
-===== Sažetak =====
 U AWS okruženju, upravljanje sigurnosnim incidentima zahtijeva prilagodljive alate koji omogućuju brzu reakciju na prijetnje. AWS pruža usluge poput CloudTrail-a i GuardDuty-ja za otkrivanje sumnjivih aktivnosti, dok CloudWatch omogućava praćenje resursa u stvarnom vremenu. Ključno je postaviti jasne planove odgovora i eskalacije, čime se osigurava pravovremeno upravljanje incidentima. Automatizacija procesa kroz AWS Incident Manager ubrzava reakciju, dok integracija s alatima za detekciju omogućava aktivaciju odgovora temeljenog na stvarnim prijetnjama. Ovaj pristup omogućava proaktivno upravljanje incidentima, smanjuje ljudske greške i poboljšava sigurnost infrastrukture, čineći AWS okruženje otpornijim na prijetnje.
-===== Uvod =====
+==== Uvod ====
 U današnjem digitalnom okruženju, sigurnost podataka i infrastrukture postaje sve važnija, posebno u kontekstu usluga u oblaku kao što je Amazon Web Services (AWS). Incident response, ili odgovor na incidente, predstavlja ključni aspekt upravljanja sigurnošću, omogućujući organizacijama da brzo i učinkovito reagiraju na sigurnosne prijetnje i incidente. Ovaj dokument će istražiti strategije i najbolje prakse za upravljanje incidentima u AWS okruženju, s naglaskom na važnost pripreme, detekcije i suradnje među timovima.
 Dodatna mogućnost je pristup AWS Customer Incident Response Teamu (CIRT), koji će istražiti pogođene resurse te koji su stalno dostupni.
@@ Redak 13: / Redak 16: @@
 {{racfor_wiki:seminari2024:aws_ir_slika1.png}}
   Slika 1. Koraci programa odgovora na incidente u AWS okruženju
-===== Ključne razlike u odgovoru na incidente u AWS okruženju od ostalih tradicionalnih pristupa =====
+==== Ključne razlike u odgovoru na incidente u AWS okruženju od ostalih tradicionalnih pristupa ====
 Postoje tri domene u AWS okruženju u kojima se mogu dogoditi incidenti: **servisna domena** (obuhvaća AWS račune, IAM dozvole, metapodatke resursa i naplatu), **infrastrukturna domena** (uključuje mrežne i podatkovne aktivnosti na operacijskom sustavu određene instance) i **aplikacijska domena** (odnosi se na aplikacijski kod i softver na infrastrukturi).
@@ Redak 38: / Redak 44: @@
 **Važnost automatizacije**: Automatizacija je neizostavna za učinkovito upravljanje incidentima u oblaku. Alati poput AWS CloudFormation omogućuju implementaciju infrastrukture kao koda (IaC), što minimizira ljudske greške i ubrzava reakciju na incidente.
-===== Alati za detekciju i obradu sigurnosnih incidenata u AWS okruženju =====
+==== Alati za detekciju i obradu sigurnosnih incidenata u AWS okruženju ====
 Tipovi incidenata koji se mogu pojaviti u AWS okruženju: **prekide usluga**, **neovlašteni pristup**, **eskalaciju privilegija**, **zadržavanje neovlaštenog pristupa**, **prekomjerne dozvole**, **izlaganje informacija** i **izlaganje dozvola**.
-==== CloudTrail ====
+=== CloudTrail ===
 AWS CloudTrail bilježi sve autentificirane API pozive u vašem AWS računu. Svaki zapis uključuje tko je izveo poziv, IP adresu izvora, vrijeme poziva, radnju koja je izvršena, uslugu na koju se odnosi te zahvaćene resurse.
 Međutim, CloudTrail bilježi samo "management events", dok za praćenje pristupa podacima poput S3, DynamoDB ili Lambda funkcija treba omogućiti "Data Events". Premda nije besplatno, praćenje ovih događaja pomaže izbjeći situaciju u kojoj ne možete dokazati da nije došlo do povrede podataka.
@@ Redak 49: / Redak 61: @@
   Slika 4. Izgled CloudTrail zapisa i pripadnih metapodataka
-==== GuardDuty ====
+=== GuardDuty ===
 GuardDuty je AWS usluga za detekciju prijetnji koja koristi tri glavna izvora podataka: **CloudTrail**, **VPC Flow Logs** i **DNS Query Logs**. Generira nalaze vezane za identitet ili uređaje u mreži, a ovi nalazi mogu biti **eksplicitni** (jasno definirane prijetnje) ili **bazirani na anomalijama** (neobično ponašanje).
 GuardDuty automatski otkriva prijetnje bez potrebe za dodatnom konfiguracijom ili upravljanjem infrastrukturom.
@@ Redak 57: / Redak 70: @@
   Slika 5. Detekcija anomalija i alarmiranje pomoću alata GuardDuty
-==== Monitoring i praćenje incidenata ====
+=== Monitoring i praćenje incidenata ===
 **AWS Security Hub**: Pruža pregled sigurnosnih upozorenja i usklađenosti kroz integrirane nadzorne ploče. Sjedinjuje podatke detakrirane iz AWS usluga (GuardDuty, Inspector, Macie) i omogućuje automatizirane provjere usklađenosti.
@@ Redak 63: / Redak 77: @@
 **Amazon CloudWatch**: Praćenje AWS resursa i aplikacija uz metrike, logove i alarme. Omogućuje uvid u performanse i automatsku reakciju na promjene radi stabilnosti sustava.
-===== Priprema i odgovor na incident =====
-AWS Incident Manager omogućuje jednostavno upravljanje procesima odgovora na incidente. S njim možete:
--Planirati procese odgovora
--Definirati Runbookove (automatizirane korake)
--Slati obavijesti relevantnim timovima/ljudima zaduženima za sigurnost
--Pregledavati detalje incidenta u stvarnom vremenu
-==== Razvoj plana odgovora na incidente ====
+==== Priprema i odgovor na incident ====
+AWS Incident Manager omogućuje jednostavno upravljanje procesima odgovora na incidente. S njim možete:**Planirati procese odgovora**, **Definirati Runbookove (automatizirane korake)**, **Slati obavijesti relevantnim timovima/ljudima zaduženima za sigurnost**, **Pregledavati detalje incidenta u stvarnom vremenu**
+=== Razvoj plana odgovora na incidente ===
 Priprema za incidente započinje razvojem sveobuhvatnog plana koji definira strategije i procedure za odgovor na sigurnosne događaje.
@@ Redak 77: / Redak 91: @@
   Slika 6. Razvoj plana odgovora na incidente - koraci
-=== Kontakt podatci ===
+**Kontakt podatci**
 U ovom koraku se definira ime osobe odgovorne za incident response procese i njen alias. Navode se komunikacijski kanali (E-mail, SMS, Voice) za kontaktiranje te osobe. Preporučuje se definirati barem dva kanala za osiguranje dostupnosti.
-=== Kreiranja plana eskalacije ===
+**Kreiranja plana eskalacije**
 Kreiranje plana eskalacije je opcionalno, kao i kreiranje kontakt podataka. Ovaj plan je koristan u situacijama kada želite da više osoba istovremeno upravlja nekim slučajem. Možete odabrati više osoba i automatski proslijediti slučaj sljedećoj osobi u slučaju da prva osoba ne odgovori na slučaj.
 U polju za detalje plana eskalacije potrebno je dodati ime i alias za plan. U polju za faze možete odabrati osobe koje će raditi na slučaju, dok s parametrom trajanje možete odrediti koliko minuta će proći prije nego slučaj bude eskaliran sljedećem odgovaraču.
@@ Redak 87: / Redak 101: @@
   Slika 7. Forma za unos plana eskalacije
-=== Plan odgovora na incident ===
+**Plan odgovora na incident**
 Plan odgovora je ključan za upravljanje incidentima, jer omogućava planiranje odgovora, određivanje ozbiljnosti incidenata, izbor kontakata, praćenje metrike i pokretanje automatiziranih radnih uputa.
@@ Redak 93: / Redak 108: @@
   Slika 8. Forma za definiranje plana odgovora na incident
-==== Integracija plana odgovora s alatima za detekciju incidenata ====
+=== Integracija plana odgovora s alatima za detekciju incidenata ===
 Nakon što ste postavili planove eskalacije i odgovora, sljedeći korak je povezivanje s AWS CloudTrailom ili GuardDutyjem kako bi se automatski aktivirali incidenti i odgovori na temelju sigurnosnih događaja ili aktivnosti u vašem AWS okruženju.
@@ Redak 101: / Redak 117: @@
-===== Testiranje sustava odgovora na incident =====
+==== Testiranje sustava odgovora na incident ====
 U okviru testiranja sustava, važno je znati kako inicirati incident, bilo ručno ili automatski. Za ručno pokretanje incidenta, jednostavno se klikne na opciju "Start Incident" na Incident Manager nadzornoj ploči, odabere pripremljeni plan odgovora i, opcionalno, unese naslov i utjecaj incidenta prije nego što se klikne na "Start".
@@ Redak 114: / Redak 132: @@
   Slika 10. Automatsko kreiranje incidenta putem CloudWatch-a (forma s potrebnim podatcim za unos)
-===== Praćenje i rješavanje incidenata =====
+==== Praćenje i rješavanje incidenata ====
 Incidenti mogu biti praćeni kroz nadzornu ploču Incident Managera, gdje možete pratiti metrike, vremenske linije, angažmane i druge relevantne podatke. Kada je incident riješen, možete ga zaključiti klikom na "Resolve incident". Nakon što je incident riješen, može se započeti analiza pomoću predložaka, s mogućnostima izmjena na kasnijim analizama.
@@ Redak 122: / Redak 144: @@
   Slika 11. Prikaz detektiranog incidenta i mogućnosti pregleda detalja istog
-===== Zaključak =====
+==== Zaključak ====
 U digitalnom okruženju, učinkovito upravljanje sigurnosnim incidentima u cloud infrastrukturi, poput AWS-a, ključno je za zaštitu podataka i sustava. AWS nudi alate kao što su CloudTrail, GuardDuty, Security Hub i CloudWatch za detekciju prijetnji i automatski odgovor na incidente. Ključna razlika u odnosu na tradicionalne pristupe leži u podjeli sigurnosne odgovornosti, dinamičnosti resursa u oblaku i važnosti automatizacije kroz alate poput AWS CloudFormation.
@@ Redak 130: / Redak 155: @@
 Nakon rješavanja incidenta, analiza pomaže u ocjeni učinkovitosti odgovora i identificiranju područja za poboljšanje. Automatizacija i jasna koordinacija među timovima ključni su za brže rješavanje problema i smanjenje ljudskih grešaka. Testiranje sustava i stalno praćenje incidenata omogućuju stalnu prilagodbu i poboljšanje procesa odgovora, čime se osigurava sigurnost infrastrukture u AWS okruženju.
-===== Literatura =====
-[1] [[https://www.chrisfarris.com/post/aws-ir/]"Cloud security"]
-[2] [[https://ayberk.ninja/incident-response-on-aws]|"Incident response on AWS"]
-[3] [[https://docs.aws.amazon.com/pdfs/security-ir/latest/userguide/sir-ug.pdf#select-a-membership-account|"Security Incident Response User Guide"]]
+==== Literatura ====
+[1] Cloud security, Izvor: [[https://www.chrisfarris.com/post/aws-ir]]
+[2] Incident response on AWS, Izvor: [[https://ayberk.ninja/incident-response-on-aws]]
+[3] Security Incident Response User Guide, Izvor: [[https://docs.aws.amazon.com/pdfs/security-ir/latest/userguide/sir-ug.pdf#select-a-membership-account]]
-[4] [[https://docs.aws.amazon.com/security-ir/latest/userguide/dashboard.html|"AWS Documentation"]]
+[4] AWS Documentation, Izvor: [[https://docs.aws.amazon.com/security-ir/latest/userguide/dashboard.html]]
-[5] [[https://www.slideshare.net/slideshow/aws-security-week-incident-response/108456754|"AWS security week"]]
+[5] AWS security week, Izvor: [[https://www.slideshare.net/slideshow/aws-security-week-incident-response/108456754]]

racfor_wiki/seminari2024/incident_response_u_aws_okruzenju.1736173527.txt.gz · Zadnja izmjena: 2025/01/06 14:25 od Žgela Ivan