Neuer AWS Security Incident Response Service hilft Organisationen auf Sicherheitsvorfälle zu reagieren und sich davon zu erholen

von Betty Zheng (郑予彬) übersetzt durch Desiree Brunner

Heute kündigen wir AWS Security Incident Response an, einen neuen Service, der Organisationen dabei helfen soll, Sicherheitsvorfälle schnell und effektiv zu bewältigen. Der Service wurde speziell entwickelt, um Kunden bei der Vorbereitung, Reaktion und Wiederherstellung nach verschiedenen Sicherheitsereignissen zu unterstützen, einschließlich Kontoübernahmen, Datenschutzverletzungen und Ransomware-Angriffen.

Security Incident Response automatisiert die Triage und Untersuchung von Sicherheitsergebnissen aus Amazon GuardDuty und integrierten Bedrohungserkennungstools von Drittanbietern über AWS Security Hub. Es erleichtert die Kommunikation und Koordination und bietet rund um die Uhr Zugang zu Sicherheitsexperten des AWS Customer Incident Response Teams (“CIRT”), die bei Sicherheitsvorfällen unterstützen können. Der Service zielt darauf ab, Kunden eine umfassendere Unterstützung über alle Phasen des Incident-Response-Lebenszyklus hinweg zu bieten, von der Vorbereitung über die Erkennung und Analyse bis hin zur Wiederherstellung.

Sicherheitsvorfälle werden für Kunden immer häufiger und komplexer. Sicherheitsteams sehen sich oft mit einer überwältigenden Anzahl täglicher Warnmeldungen konfrontiert, was zu einer möglichen falschen Priorisierung von Ressourcen und verringerter Effektivität führt. Die manuelle Untersuchung von Ergebnissen belastet Ressourcen und kann dazu führen, dass Kunden kritische Sicherheitswarnungen übersehen. Der Prozess ist zustätzlich erschwert durch die Koordination von Rückmeldungen über mehrere Interessengruppen hinweg, die Verwaltung von Berechtigungen in verschiedenen Umgebungen und die Dokumentation von Maßnahmen. Hierbei können Kunden besser unterstützt und Teile des “undifferentiated heavy lifting”, mit denen Kunden während Sicherheitsvorfällen konfrontiert sind, beseitigt werden.

Hauptfunktionen

AWS Security Incident Response adressiert diese Herausforderungen durch drei Hauptfunktionen, die Kunden dabei helfen, sich effektiv auf Sicherheitsvorfälle vorzubereiten, darauf zu reagieren und sich davon zu erholen:

1. Security Incident Response führt automatisch eine Triage von Sicherheitsergebnissen aus GuardDuty durch und unterstützt Tools von Drittanbietern mittels Security Hub. Somit werden Vorfälle, die eine hohe Prioriät haben und sofortige Aufmerksamkeit erfordern, identifiziert. Der Service verwendet Automatisierung und kundenspezifische Informationen, um Sicherheitsergebnisse basierend auf erwartetem Verhalten zu filtern und zu unterdrücken, was Teams hilft, sich auf kritische Sicherheitswarnungen zu konzentrieren.
2. Der Service vereinfacht die Reaktion auf Sicherheitsvorfälle (in Englisch: “incident response”) durch vorkonfigurierte Benachrichtigungsregeln und Berechtigungseinstellungen, die sowohl auf interne als auch externe Interessengruppen, einschließlich Drittanbietern von Sicherheitssystemen, ausgeweitet werden können. Kunden können auf eine zentralisierte Konsole mit integrierten Funktionen wie Nachrichtenübermittlung, sicherer Datentransfer und Videokonferenzplanung zugreifen, die alle über Service-APIs oder die AWS Management Konsole zugänglich sind. Zusätzliche Funktionen umfassen das automatisierte Verfolgen und Berichten von Fallverläufen, die es Sicherheitsteams ermöglichen, sich auf Behebungs- und Wiederherstellungsmaßnahmen zu konzentrieren.
3. Kunden erhalten Zugang zu Self-Service-Untersuchungstools und 24/7-Support vom AWS CIRT. Kunden haben auch die Möglichkeit, Sicherheitsvorfälle unabhängig zu behandeln oder mit Drittanbietern von Sicherheitssystemen zusammenzuarbeiten. Diese Optionen ermöglichen es Kunden spezifisch und anforderungsbasiert Reaktionen auf Vorfälle zu wählen, zu verwalten und durchzuführen.

Zusätzlich zu den Kernfunktionen profitieren Kunden von einem Service-Dashboard mit Metriken, die Ihnen helfen, im Verlauf der Zeit ihre Leistung bei der Reaktion auf Sicherheitsvorfälle zu messen, zu überwachen und zu verbessern. Zu diesen Metriken gehören die durchschnittliche Zeit bis zur Wiederherstellung (in Englisch: “mean time to recover”, kurz “MTTR”), die Anzahl der aktiven und geschlossenen Fälle innerhalb eines bestimmten Zeitraums, die Anzahl der triagierte Ergebnisse und andere wichtige Leistungsindikatoren. Kunden können sofort auf diese Metriken zugreifen, ohne Informationen zusammenstellen oder einmalige Berichte erstellen zu müssen.

Erste Schritte

Der Einstellungsprozess kann in wenigen Schritten abgeschlossen werden. Security Incident Response integriert sich mit AWS Organizations, um eine umfassende Sicherheitsabdeckung für Ihre aktuellen und zukünftigen Konten mit einer zusätzlichen Sicherheitsebene zu bieten. Kunden beginnen damit, ein zentrales Konto innerhalb ihrer Organisation auszuwählen, in dem alle aktiven und historischen Sicherheitsereignisse erstellt und verwaltet werden können.

Als Nächstes können Kunden die Funktion für die proaktive Reaktion auf Sicherheitsvorfälle aktivieren. Diese erstellt die Service-Level-Berechtigungen, welche es Security Incident Response ermöglichen, Ergebnisse aus GuardDuty oder Erkennungstools von Drittanbietern über Security Hub zu überwachen und zu untersuchen. Diese Ergebnisse werden dann automatisch mit Hilfe von Service-Automatisierung und kundenspezifischen Daten, einschließlich gängiger IP-Adressen, AWS Identity and Access Management (IAM)-Prinzipale und anderer relevanter Attribute, sortiert und behoben. Für Ergebnisse, die nicht automatisch behoben werden können, erstellt Security Incident Response einen Sicherheitsfall und benachrichtigt die entsprechenden Interessengruppen innerhalb der Organisation des Kunden.

Kunden können auch Berechtigungen für den Service konfigurieren, um Eindämmungsmaßnahmen durch den Einsatz spezifischer IAM-Rollen auszuführen. Durch die Nutzung dieser Eindämmungsfähigkeiten von Security Incident Response können Kunden schnellere Reaktionszeiten auf Sicherheitsvorfälle erreichen und möglicherweise die Auswirkungen von Sicherheitsereignissen auf Konten und Ressourcen minimieren.

Verfügbarkeit und erste Schritte

AWS Security Incident Response ist momentan in 12 AWS-Regionen weltweit verfügbar: US East (N. Virginia, Ohio), US West (Oregon), Asien-Pazifik (Seoul, Singapur, Sydney, Tokio), Kanada (Central) und Europa (Frankfurt, Irland, London, Stockholm).

Erfahren Sie mehr über AWS Security Incident Response auf der Produktseite.

–Betty [Extern]

Betty Zheng (郑予彬) ist Senior Developer Advocate bei AWS und konzentriert sich auf die Erstellung entwicklerorientierter Inhalte für Cloud Native, Cloud-Sicherheit und generative KI-Technologien. Mit über 20 Jahren Erfahrung in der IKT-Branche und 18 Jahren als Anwendungsarchitektin und Cloud-Infrastruktur-Expertin engagiert sie sich aktiv in der chinesischen Entwicklergemeinschaft und setzt sich dafür ein, Entwicklern beim Verständnis der Technologien zu helfen und ihre Ideen in die Praxis umzusetzen.