SEC 10: 您如何預估、回應事件以及從事件中復原？

準備對於及時且有效的調查、回應事件以及從事件中復原至關重要，有助於將對組織的干擾降到最低。

資源

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

最佳實務:

• 確定關鍵人員和外部資源: 確定可以幫助您的組織回應事件的內部和外部人員、資源及法律義務。

• 制定事件管理計畫: 建立計畫以協助您回應事件、在事件期間進行溝通，以及從事件中復原。例如您可以從工作負載和組織最可能發生的情境，開始建立事件回應計畫。包括您在內部和外部進行溝通和向上呈報的流程。

• 準備鑑識功能: 識別和準備適合的鑑識調查功能，包括外部專家、工具和自動化。

• 自動化遏制能力: 自動化事件遏制與復原，以縮短回應時間和減少對組織的影響。

• 預先佈建存取權限: 確保事件回應者具有預先佈建到 AWS 中的正確存取權限，以縮短調查直至復原的時間。

• 預先部署工具: 確保安全人員具有預先部署到 AWS 中的適當工具，以縮短調查直至復原的時間。

• 執行演練日: 定期練習事件回應演練日 (模擬)，將汲取的教訓納入計畫中，並不斷改進。

改進方案

確定關鍵人員和外部資源

確定組織中的關鍵人員: 維護人員聯絡清單，將組織中參與事故回應和復原的人員納入其中。

確定外部合作夥伴: 如有必要，可雇用外部合作夥伴，以幫助您應對事件並從中復原。

制定事件管理計畫

檢閱可用的資源: AWS 和產業資源可供您使用。
AWS Security Incident Response Guide
NIST: Computer Security Incident Handling Guide

制定事件回應手冊: 易於遵循的手冊應詳細說明您將採取的事件回應和復原措施。

制定向上呈報和溝通計畫: 向上呈報和溝通計劃應納入您組織中的人員，以及在事故期間每個階段您必須通知的外部人員。

制定外部公共關係計劃: 制定公共關係計畫，以發佈有關事件的資訊。

準備鑑識功能

確定鑑識能力: 研究組織的鑑識調查能力、可用的工具以及外部專家。
Automating Incident Response and Forensics

自動化遏制能力

自動化遏制能力

預先佈建存取權限

預先佈建存取權限: 確保安全人員具有預先佈建到 AWS 中的正確存取權限，以便可以對事件做出適當的回應。

預先部署工具

預先部署工具: 確保安全人員具有預先部署到 AWS 中的適當工具，以便可以對事件做出適當的回應。
Lab: Incident response with AWS Management Console and CLI
Incident Response Playbook with Jupyter - AWS IAM
AWS Security Automation

實作資源標記: 使用資訊標記資源 (例如調查中資源的程式碼)，以便您可以在事件期間識別資源。
AWS Tagging Strategies

執行演練日

執行演練日: 針對涉及關鍵人員和管理層的各種威脅執行模擬的事故回應活動 (演練日)。

汲取經驗教訓: 從演練日中獲得的經驗教訓應該成為改善程序的回饋意見的一部分。