SEC 10: 인시던트를 어떻게 예상하고 대응하며 어떻게 사후 복구합니까?

조직의 업무 중단을 최소화할 수 있도록 보안 인시던트를 제때 효고적으로 조사 및 대응하고 사후 복구하려면 철저한 준비가 필요합니다.

리소스

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

모범 사례:

개선 계획

주요 직원과 외부 리소스 파악

  • 조직의 주요 직원 파악: 인시던트 대응 및 인시던트 이후의 복구에 참여해야 하는 조직 내의 직원 연락처 목록을 유지 관리합니다.
  • 외부 파트너 파악: 필요한 경우 인시던트 대응 및 사후 복구를 지원할 수 있는 외부 파트너와 협력합니다.
  • 인시던트 관리 계획 개발

  • 사용 가능한 리소스 검토: AWS 및 업계 리소스를 이용할 수 있습니다.
    AWS Security Incident Response Guide
    NIST: Computer Security Incident Handling Guide
  • 인시던트 대응 플레이북 개발: 쉽게 진행할 수 있는 플레이북에는 인시던트 대응 및 인시던트 이후의 복구를 위해 수행해야 하는 상세 단계가 포함되어야 합니다.
  • 에스컬레이션 및 커뮤니케이션 계획 개발: 에스컬레이션 및 커뮤니케이션 계획에는 인시던트 중의 각 단계에서 알림을 보내야 하는 조직의 담당자와 외부 당사자를 포함해야 합니다.
  • 외부 홍보 계획 개발: 인시던트 관련 정보 공개를 위한 홍보 계획을 개발합니다.
  • 포렌식 역량 확보

  • 포렌식 역량 파악: 조직의 포렌식 조사 역량, 사용 가능한 도구 및 외부 전문가를 조사합니다.
    Automating Incident Response and Forensics
  • 억제 기능 자동화

  • 억제 기능 자동화
  • 액세스 권한 사전 프로비저닝

  • 액세스 권한 사전 프로비저닝: 인시던트에 적절하게 대응할 수 있도록 보안 담당자가 올바른 액세스 권한을 AWS에 사전 프로비저닝하도록 합니다.
  • 도구 사전 배포

  • 도구 사전 배포: 인시던트에 적절하게 대응할 수 있도록 보안 담당자가 적절한 도구를 AWS에 사전 배포하도록 합니다.
    Lab: Incident response with AWS Management Console and CLI
    Incident Response Playbook with Jupyter - AWS IAM
    AWS Security Automation
  • 리소스 태그 지정 구현: 인시던트 발생 시 리소스를 식별할 수 있도록 조사 중인 리소스의 코드와 같은 정보로 리소스를 태깅합니다.
    AWS Tagging Strategies
  • 게임 데이 실행

  • 게임 데이 실행: 핵심 직원이 참여하여 관리 작업을 수행해야 하는 여러 위협과 관련하여 시뮬레이션 방식 인시던트 대응 이벤트(게임 데이)를 실행합니다.
  • 파악한 내용 포함: 프로세스를 개선할 수 있도록 게임 데이를 실행하여 파악한 내용을 피드백 루프에 포함해야 합니다.