Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:incident_response_u_aws_okruzenju [2025/01/06 14:38]
Žgela Ivan [Literatura]
+++ racfor_wiki:seminari2024:incident_response_u_aws_okruzenju [2025/01/26 16:17] (trenutno)
Žgela Ivan [Alati za detekciju i obradu sigurnosnih incidenata u AWS okruženju]
@@ Redak 1: / Redak 1: @@
 ===== Incident response u AWS okruženju =====
+[[https://ferhr-my.sharepoint.com/:v:/g/personal/iz53036_fer_hr/EWTG7LujlAJLmL7MdIWHQCwBo7HVpzpP3d_Pqy0VjpiSRA?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D&e=IRgRJM|Videoprezentacija]]
 ==== Sažetak ====
 U AWS okruženju, upravljanje sigurnosnim incidentima zahtijeva prilagodljive alate koji omogućuju brzu reakciju na prijetnje. AWS pruža usluge poput CloudTrail-a i GuardDuty-ja za otkrivanje sumnjivih aktivnosti, dok CloudWatch omogućava praćenje resursa u stvarnom vremenu. Ključno je postaviti jasne planove odgovora i eskalacije, čime se osigurava pravovremeno upravljanje incidentima. Automatizacija procesa kroz AWS Incident Manager ubrzava reakciju, dok integracija s alatima za detekciju omogućava aktivaciju odgovora temeljenog na stvarnim prijetnjama. Ovaj pristup omogućava proaktivno upravljanje incidentima, smanjuje ljudske greške i poboljšava sigurnost infrastrukture, čineći AWS okruženje otpornijim na prijetnje.
 ==== Uvod ====
 U današnjem digitalnom okruženju, sigurnost podataka i infrastrukture postaje sve važnija, posebno u kontekstu usluga u oblaku kao što je Amazon Web Services (AWS). Incident response, ili odgovor na incidente, predstavlja ključni aspekt upravljanja sigurnošću, omogućujući organizacijama da brzo i učinkovito reagiraju na sigurnosne prijetnje i incidente. Ovaj dokument će istražiti strategije i najbolje prakse za upravljanje incidentima u AWS okruženju, s naglaskom na važnost pripreme, detekcije i suradnje među timovima.
 Dodatna mogućnost je pristup AWS Customer Incident Response Teamu (CIRT), koji će istražiti pogođene resurse te koji su stalno dostupni.
@@ Redak 13: / Redak 16: @@
 {{racfor_wiki:seminari2024:aws_ir_slika1.png}}
   Slika 1. Koraci programa odgovora na incidente u AWS okruženju
 ==== Ključne razlike u odgovoru na incidente u AWS okruženju od ostalih tradicionalnih pristupa ====
@@ Redak 37: / Redak 43: @@
 **Važnost automatizacije**: Automatizacija je neizostavna za učinkovito upravljanje incidentima u oblaku. Alati poput AWS CloudFormation omogućuju implementaciju infrastrukture kao koda (IaC), što minimizira ljudske greške i ubrzava reakciju na incidente.
 ==== Alati za detekciju i obradu sigurnosnih incidenata u AWS okruženju ====
@@ Redak 43: / Redak 52: @@
 === CloudTrail ===
 AWS CloudTrail bilježi sve autentificirane API pozive u vašem AWS računu. Svaki zapis uključuje tko je izveo poziv, IP adresu izvora, vrijeme poziva, radnju koja je izvršena, uslugu na koju se odnosi te zahvaćene resurse.
 Međutim, CloudTrail bilježi samo "management events", dok za praćenje pristupa podacima poput S3, DynamoDB ili Lambda funkcija treba omogućiti "Data Events". Premda nije besplatno, praćenje ovih događaja pomaže izbjeći situaciju u kojoj ne možete dokazati da nije došlo do povrede podataka.
@@ Redak 50: / Redak 62: @@
 === GuardDuty ===
 GuardDuty je AWS usluga za detekciju prijetnji koja koristi tri glavna izvora podataka: **CloudTrail**, **VPC Flow Logs** i **DNS Query Logs**. Generira nalaze vezane za identitet ili uređaje u mreži, a ovi nalazi mogu biti **eksplicitni** (jasno definirane prijetnje) ili **bazirani na anomalijama** (neobično ponašanje).
 GuardDuty automatski otkriva prijetnje bez potrebe za dodatnom konfiguracijom ili upravljanjem infrastrukturom.
@@ Redak 58: / Redak 71: @@
 === Monitoring i praćenje incidenata ===
 **AWS Security Hub**: Pruža pregled sigurnosnih upozorenja i usklađenosti kroz integrirane nadzorne ploče. Sjedinjuje podatke detakrirane iz AWS usluga (GuardDuty, Inspector, Macie) i omogućuje automatizirane provjere usklađenosti.
 **Amazon CloudWatch**: Praćenje AWS resursa i aplikacija uz metrike, logove i alarme. Omogućuje uvid u performanse i automatsku reakciju na promjene radi stabilnosti sustava.
 ==== Priprema i odgovor na incident ====
-AWS Incident Manager omogućuje jednostavno upravljanje procesima odgovora na incidente. S njim možete:
--Planirati procese odgovora
+AWS Incident Manager omogućuje jednostavno upravljanje procesima odgovora na incidente. S njim možete:**Planirati procese odgovora**, **Definirati Runbookove (automatizirane korake)**, **Slati obavijesti relevantnim timovima/ljudima zaduženima za sigurnost**, **Pregledavati detalje incidenta u stvarnom vremenu**
--Definirati Runbookove (automatizirane korake)
--Slati obavijesti relevantnim timovima/ljudima zaduženima za sigurnost
--Pregledavati detalje incidenta u stvarnom vremenu
 === Razvoj plana odgovora na incidente ===
 Priprema za incidente započinje razvojem sveobuhvatnog plana koji definira strategije i procedure za odgovor na sigurnosne događaje.
@@ Redak 77: / Redak 91: @@
   Slika 6. Razvoj plana odgovora na incidente - koraci
-== Kontakt podatci ==
+**Kontakt podatci**
 U ovom koraku se definira ime osobe odgovorne za incident response procese i njen alias. Navode se komunikacijski kanali (E-mail, SMS, Voice) za kontaktiranje te osobe. Preporučuje se definirati barem dva kanala za osiguranje dostupnosti.
-== Kreiranja plana eskalacije ==
+**Kreiranja plana eskalacije**
 Kreiranje plana eskalacije je opcionalno, kao i kreiranje kontakt podataka. Ovaj plan je koristan u situacijama kada želite da više osoba istovremeno upravlja nekim slučajem. Možete odabrati više osoba i automatski proslijediti slučaj sljedećoj osobi u slučaju da prva osoba ne odgovori na slučaj.
 U polju za detalje plana eskalacije potrebno je dodati ime i alias za plan. U polju za faze možete odabrati osobe koje će raditi na slučaju, dok s parametrom trajanje možete odrediti koliko minuta će proći prije nego slučaj bude eskaliran sljedećem odgovaraču.
@@ Redak 87: / Redak 101: @@
   Slika 7. Forma za unos plana eskalacije
-== Plan odgovora na incident ==
+**Plan odgovora na incident**
 Plan odgovora je ključan za upravljanje incidentima, jer omogućava planiranje odgovora, određivanje ozbiljnosti incidenata, izbor kontakata, praćenje metrike i pokretanje automatiziranih radnih uputa.
@@ Redak 94: / Redak 109: @@
 === Integracija plana odgovora s alatima za detekciju incidenata ===
 Nakon što ste postavili planove eskalacije i odgovora, sljedeći korak je povezivanje s AWS CloudTrailom ili GuardDutyjem kako bi se automatski aktivirali incidenti i odgovori na temelju sigurnosnih događaja ili aktivnosti u vašem AWS okruženju.
@@ Redak 100: / Redak 116: @@
 **Povezivanje s AWS GuardDuty**: Kada GuardDuty prepozna prijetnju, možete postaviti automatske akcije koje će pokrenuti Response plan prema postavkama koje ste prethodno definirali. Na primjer, može automatski dodati označene prijetnje u incidente i aktivirati odgovarajuće planove reakcije.
 ==== Testiranje sustava odgovora na incident ====
@@ Redak 113: / Redak 131: @@
 {{racfor_wiki:seminari2024:aws_ir_slika10.png}}
   Slika 10. Automatsko kreiranje incidenta putem CloudWatch-a (forma s potrebnim podatcim za unos)
 ==== Praćenje i rješavanje incidenata ====
@@ Redak 121: / Redak 143: @@
 {{racfor_wiki:seminari2024:aws_ir_slika11.png}}
   Slika 11. Prikaz detektiranog incidenta i mogućnosti pregleda detalja istog
 ==== Zaključak ====
@@ Redak 130: / Redak 155: @@
 Nakon rješavanja incidenta, analiza pomaže u ocjeni učinkovitosti odgovora i identificiranju područja za poboljšanje. Automatizacija i jasna koordinacija među timovima ključni su za brže rješavanje problema i smanjenje ljudskih grešaka. Testiranje sustava i stalno praćenje incidenata omogućuju stalnu prilagodbu i poboljšanje procesa odgovora, čime se osigurava sigurnost infrastrukture u AWS okruženju.
 ==== Literatura ====
-[1] [[https://www.chrisfarris.com/post/aws-ir|Cloud security]]
+[1] Cloud security, Izvor: [[https://www.chrisfarris.com/post/aws-ir]]
-[2] [[https://ayberk.ninja/incident-response-on-aws|Incident response on AWS]]
+[2] Incident response on AWS, Izvor: [[https://ayberk.ninja/incident-response-on-aws]]
-[3] [[https://docs.aws.amazon.com/pdfs/security-ir/latest/userguide/sir-ug.pdf#select-a-membership-account|Security Incident Response User Guide]]
+[3] Security Incident Response User Guide, Izvor: [[https://docs.aws.amazon.com/pdfs/security-ir/latest/userguide/sir-ug.pdf#select-a-membership-account]]
-[4] [[https://docs.aws.amazon.com/security-ir/latest/userguide/dashboard.html|AWS Documentation]]
+[4] AWS Documentation, Izvor: [[https://docs.aws.amazon.com/security-ir/latest/userguide/dashboard.html]]
-[5] [[https://www.slideshare.net/slideshow/aws-security-week-incident-response/108456754|AWS security week]]
+[5] AWS security week, Izvor: [[https://www.slideshare.net/slideshow/aws-security-week-incident-response/108456754]]

racfor_wiki/seminari2024/incident_response_u_aws_okruzenju.1736174294.txt.gz · Zadnja izmjena: 2025/01/06 14:38 od Žgela Ivan