AWS đã thành lập Đội Phản ứng Sự cố Khách hàng (Customer Incident Response Team – CIRT), một đội ngũ chuyên gia bảo mật toàn cầu hoạt động 24/7. Nhiệm vụ của CIRT là hỗ trợ trực tiếp cho khách hàng khi xảy ra các sự cố bảo mật nghiêm trọng như truy cập trái phép, rò rỉ dữ liệu hay ransomware, giúp doanh nghiệp giảm thiểu thiệt hại và nhanh chóng phục hồi.
AWS CIRT là gì và hỗ trợ doanh nghiệp như thế nào?
AWS CIRT là một đội ngũ chuyên trách gồm các kỹ sư bảo mật, cung cấp hỗ trợ cho khách hàng trong các sự kiện bảo mật đang diễn ra trên phần trách nhiệm của khách hàng trong Mô hình Trách nhiệm chung của AWS. Đội ngũ này không chỉ phản ứng với các sự cố bảo mật trên cloud mà còn xây dựng các công cụ và tài nguyên để thực hiện công việc đó.
Khi được AWS CIRT hỗ trợ, họ tập trung vào việc điều tra các sự kiện bảo mật thể hiện trong log dịch vụ AWS và control plane. Các nguồn dữ liệu chính cho việc phân tích bao gồm AWS CloudTrail, Amazon VPC Flow Logs, và các phát hiện từ Amazon GuardDuty. Đội ngũ sẽ hỗ trợ phân loại, phân tích, ngăn chặn sự cố, đồng thời cung cấp các khuyến nghị và best practice để giúp doanh nghiệp tránh các sự cố tương tự trong tương lai.
Đối với các cuộc điều tra cần phân tích sâu ở cấp độ máy chủ hoặc ứng dụng — chẳng hạn như điều tra hệ điều hành, phân tích bộ nhớ, hoặc review mã nguồn ứng dụng — AWS khuyến nghị khách hàng nên kết hợp sự hỗ trợ của CIRT với các Đối tác AWS chuyên về điều tra số và phản ứng sự cố (digital forensics and incident response – DFIR).
Cách liên hệ với AWS CIRT khi xảy ra sự cố
Nếu doanh nghiệp đang gặp phải một sự cố bảo mật nghiêm trọng trong môi trường AWS của mình — chẳng hạn như truy cập trái phép, rò rỉ dữ liệu hoặc ransomware — hãy mở một case hỗ trợ AWS và yêu cầu trợ giúp.
Để yêu cầu hỗ trợ từ AWS:
- Mở một case hỗ trợ từ tài khoản AWS bị ảnh hưởng thông qua AWS Support Center Console.
- Chọn dịch vụ liên quan chặt chẽ nhất đến sự cố bảo mật (ví dụ: Amazon EC2, AWS IAM, Amazon S3).
- Đề cập rằng bạn đang có một sự cố bảo mật khẩn cấp trong phần mô tả case.
Việc mở case hỗ trợ từ tài khoản bị ảnh hưởng cho phép AWS xác nhận quyền sở hữu tài khoản và cung cấp cho bạn một số case để theo dõi quá trình xử lý. Nếu bạn có đội ngũ quản lý tài khoản (TAM, Account Manager, hoặc Solutions Architect), bạn cũng có thể thông báo cho họ để bắt đầu quy trình leo thang (escalation).
Nếu bạn đã mất quyền truy cập vào tài khoản của mình, bạn vẫn có thể gửi yêu cầu hỗ trợ.
Nguồn lực và công cụ từ AWS CIRT giúp phòng ngừa rủi ro
Ngoài việc phản ứng sự cố, AWS CIRT còn cung cấp các tài nguyên và công cụ để giúp khách hàng chủ động tăng cường bảo mật.
Threat Technique Catalog for AWS (TTC)
AWS CIRT đã phát triển Threat Technique Catalog for AWS (TTC) — một danh mục công khai, dựa trên khuôn khổ MITRE ATT&CK Cloud Matrix, ghi lại các chiến thuật, kỹ thuật và quy trình (TTPs) của kẻ tấn công dành riêng cho AWS, được quan sát bởi chính đội ngũ CIRT. Mỗi mục trong danh mục đều bao gồm hướng dẫn phát hiện và các biện pháp giảm thiểu cụ thể cho môi trường AWS. Các phát hiện từ TTC cũng được dùng để cải tiến logic phát hiện trong các dịch vụ AWS như Amazon GuardDuty, giúp khách hàng tăng cường các biện pháp bảo vệ tự động.
Các công cụ mã nguồn mở
AWS cũng đã phát hành một số công cụ mã nguồn mở dựa trên các mẫu hình thường thấy trong các sự cố:
- AWS Customer Playbook Framework: Các bộ playbook phản ứng sự cố công khai, đúc kết từ kinh nghiệm thực tế.
- Assisted Log Enabler for AWS: Công cụ hỗ trợ khách hàng bật các loại log quan trọng như VPC Flow Logs, CloudTrail, EKS audit logs, và S3 server access logs.
- AWS CloudSaga: Công cụ để kiểm tra các biện pháp kiểm soát bảo mật và cảnh báo trong môi trường AWS bằng cách tạo ra các sự kiện mô phỏng dựa trên các sự cố phổ biến.
- Athena Security Analytics Bootstrap: Công cụ giúp khách hàng nhanh chóng thiết lập Amazon Athena để thực hiện điều tra trên các log dịch vụ AWS được lưu trữ trong S3.
Workshops thực hành
AWS duy trì năm workshops công khai, được cập nhật thường xuyên để mô phỏng các sự kiện bảo mật hiện tại. Các workshop này bao gồm các chủ đề như sử dụng trái phép thông tin đăng nhập IAM, ransomware trên Amazon S3, đào tiền mã hóa, và chuẩn bị công cụ phản ứng sự cố. Đây là cơ hội để các đội ngũ kỹ thuật thực hành với các kịch bản mà chính đội ngũ CIRT của AWS sử dụng để huấn luyện nội bộ.
