安全云脑 SECMASTER-凭证泄露响应方案:事件响应流程
时间:2024-11-15 18:01:13
事件响应流程
- 识别身份凭证是否受损或泄露。
- 如果您收到如下提示信息,您需要排查并识别您的身份凭证是否受损或泄露:
- 确认已针对该事件提交工单或案例。如果没有,请手动提交。
- 确定并记录问题对最终用户的影响。
- 对于自动创建的工单或案例,确定哪些告警或指标是存在问题的。
例如触发告警或指标可能是CTS服务指标指示您的 IAM 配置某些方面不合规,或者IAM服务警报表明可能存在凭证泄露。也可能是一个计费警报,当您的计费成本已超过预定阈值,触发告警或通知。
- 确定已泄露的凭证集。
- 如果已创建工单或案例,请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。
- 如果告警来自安全云脑基线检查,您可以在控制台查看基线检查结果,找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。
- 如果告警来自CTS服务,您可以在控制台事件列表,查看结果。“资源名称”为访问密钥,Credential字段则包含“access_key_id”、“account_id”、“user_name”和其他信息。
- 确定凭证可能被破坏或泄露的时间。在该时间后进行的任何API操作应被视为恶意操作,在该时间后创建的任何资源应被视为被泄露。
- 如果您的应用程序发生服务中断,需确定造成中断的可能事件。如果中断事件与凭证泄漏无关,需检查部署管道以确定在事件发生之前是否进行了任何更改。您可以通过CTS服务,协助查看所有账户活动的日志。
- 事件沟通:
- 根据组织的事件响应计划确定利益相关方的角色。
- 通知相关干系人,包括法务人员、技术团队和开发人员,并确保他们被添加到工单和作战室中,以进行持续更新。
- 外部沟通:
- 确保您的法律顾问了解情况,并将其纳入内部利益相关者的状态更新,特别是外部沟通的状态更新。
- 将负责公共或外部沟通的同事添加到工单中,以便他们可以定期接收到有关事件的状态更新,并履行其沟通职责。
- 如果您所在辖区有法规要求报告此类事件,请确保贵组织中负责通知当地或联邦执法机构的人员也收到有关该事件的通知/被添加到工单中。请咨询您的法律顾问、执法部门,以获取有关收集和保存证据和监管局的指导。即使法规没有要求,向开放数据库、政府机构或非政府组织报告,您的报告也可能有助于分析类似的活动或帮助其他人。
- 控制事件。
您可以通过禁用受损凭证或撤销与这些凭证相关的权限,从而阻止使用受损凭证调用API。
- 禁用1识别到的受损凭证。
- 您可以在30分钟左右的时间内通过CTS服务控制台查看持续使用的凭证,无论是访问密钥、IAM用户还是角色,确认受损凭证已被禁用。
- 消除事件。
您需要排查凭证在受损后执行了哪些API操作,创建、删除或修改了哪些资源,并采取相应措施,消除影响。
- 使用您的首选监控工具,访问CTS服务,并采集受损凭证执行的所有API操作,日志采集时间为受损时间到当前时间。
- 在日志服务LTS控制台,查询凭证在受损或泄露后的日期/时间采取的所有API操作。
- 从结果列表中,确定哪些API调用:
- 访问敏感数据,例如,OBS Object。
- 创建新的华为云资源,例如数据库、云服务器等。
- 创建资源的服务,包括E CS 弹性伸缩组等。
- 创建或修改权限,同时,还应排查包括(但不限于)以下API方法:CreateUser、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。
- 删除现有华为云资源。
- 修改现有华为云资源。
- 根据上一步的结果,确定是否有任何应用程序可能受到影响。如果有,获取受影响的每个资源的ID或标记信息,并通知资源的所有者。
- 基于以上结果,如果创建了额外的凭证获取资源(IAM用户、角色等),根据2.a,禁用和删除这些资源的所有凭证。
- 重复3.a到3.e,排查是否仍存在额外发现的凭证,直到全部处置完成。
- 从事故中恢复。
- 恢复被修改的资源:
- 如果资源可以被销毁和替换,则添加新的资源。
- 如果资源无法被替换,请执行以下任一操作:
- 从备份还原资源。
- 准备新资源并将其配置到应用程序的基础架构中,同时隔离受损资源并将其从应用程序的基础架构中移除。
- 销毁受损资源,或继续将其隔离以备取证。
- 恢复删除的资源:
- 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出,且华为云配置支持该资源,则检查华为云的配置。
- 如果删除的资源可以从备份中恢复,请直接恢复;如果删除的资源无法从备份中恢复,请查阅CMDB以获取资源的配置,重新创建资源并将其配置到应用程序的基础架构中。
- 恢复被修改的资源:
- 事故后活动。
- 针对某些受损资源进行调查取证,分析攻击者对受损资源使用了哪些攻击手段,并确定是否需要针对相关资源或应用程序采取额外的风险缓解措施。
- 对于任何已隔离以供进一步分析的受损资源,对这些资源执行取证活动,并将调查结果纳入事后报告。
- 确保正确更新CMDB以反映受影响的所有资源和应用程序的当前状态。
- 审查事件本身和对它的响应,确定哪些措施起作用,哪些措施不起作用,根据这些信息更新改进流程,并记录调查结果。
- 针对某些受损资源进行调查取证,分析攻击者对受损资源使用了哪些攻击手段,并确定是否需要针对相关资源或应用程序采取额外的风险缓解措施。
support.huaweicloud.com/bestpractice-secmaster/secmaster_06_0049.html
看了此文的人还看了
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
推荐文章