根絶 - AWS Security Incident Response ユーザーガイド

根絶

根絶フェーズでは、マルウェアの削除、侵害されたユーザーアカウントの削除、検出された脆弱性の軽減など、影響を受けるすべてのアカウント、リソース、インスタンスを特定して対処し、環境全体に均一な修復を適用することが重要です。

ベストプラクティスは、段階的なアプローチを使用して根絶と復旧を行い、修復ステップを優先することです。初期フェーズの目的は、将来のイベントを防ぐために、価値の高い変更で全体的なセキュリティを迅速に (数日から数週間) 向上させることです。後のフェーズでは、長期的な変更 (インフラストラクチャの変更など) と、エンタープライズを可能な限り安全に保つための継続的な作業に集中できます。各ケースは一意であり、AWS セキュリティインシデント対応エンジニアはユーザーと協力して必要なアクションを評価します。 

以下の点を考慮してください。

  • システムのイメージを再作成し、パッチやその他の対策で強化して、攻撃のリスクを防止または軽減できますか?

  • 感染したシステムを新しいインスタンスまたはリソースに置き換えて、感染した項目を終了しながらクリーンベースラインを有効にできますか?

  • 不正使用によって残されたマルウェアやその他のアーティファクトをすべて削除し、影響を受けたシステムをさらなる攻撃から保護しましたか?

  • 影響を受けるリソースに対するフォレンジックの要件はありますか?