Sto tentando di compilare un elenco di aree di cui tenere conto quando si esegue la risposta agli incidenti in ambienti cloud pubblici, ad es. un cloud pubblico ibrido, in cui alcuni servizi vengono forniti nel data center locale, mentre è nel cloud.
Alcuni pensieri:
- Tirare la RAM per fare memoria forense sarà difficile, se non impossibile, da fare su un servizio SAAS, PAAS o simile.
- L'accesso fisico ai dispositivi sarà nella maggior parte dei casi impossibile. Se devi procurarti il disco fisico che ha archiviato materiale illegale, probabilmente sei sfortunato.
- Il servizio che stai utilizzando potrebbe essere limitato, modificato o in altri modi diverso da quello che stai normalmente utilizzando. Per esempio. SQL di Azure come servizio, non hai un database completo a cui sei abituato. Pianificare per questo.
Alcune preoccupazioni che non sono direttamente influenzate da Incident Handling, ma la mia causa è che succeda:
- Isolamento vs. multi-tenancy. In qualche modo, condividerai le risorse. Il tuo servizio cloud potrebbe avere altri client che lo rovinano per i tuoi sistemi.
- Quanto sopra può valere anche per la sicurezza. Compromissione di un client SAAS, potrebbe portare a compromessi di altri se il venditore non è configurato correttamente.
- VM Escape è una possibilità temuta. Un compromesso nell'hypervisor sottostante potrebbe compromettere tutti gli host.
- Se non hai familiarità con le ACL del servizio cloud, potresti esporre in modo non sospetto i servizi su Internet aperto, che altrimenti ritenevi essere solo interno.
- Il fornitore di servizi cloud potrebbe non essere tanto disinvolto quanto te quando si tratta di limitare l'accesso fisico. #BadUSB
- I tuoi dati potrebbero essere suscettibili di e-discovery, anche se non hai avuto nulla a che fare con l'incidente.
Qualcuno ha altri pensieri o dubbi su come un cloud pubblico può avere un impatto sulla gestione degli incidenti? Preferibilmente, potremmo tenere a mente anche le 6 fasi:
- Preparazione
- Identificazione / Analisi
- Il contenimento
- Eradicazione
- Recupero
- Lezione appresa