격리 - AMS 고급 사용 설명서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

격리

AMS의 억제 접근 방식은 사용자와의 파트너십입니다. 네트워크 격리, IAM 사용자 또는 역할 프로비저닝 해제, 인스턴스 재구축 등과 같은 억제 활동으로 인해 발생할 수 있는 비즈니스 및 워크로드 영향을 이해합니다.

억제의 필수 부분은 의사 결정입니다. 예를 들어 시스템을 종료하거나, 네트워크에서 리소스를 격리하거나, 액세스 또는 종료 세션을 끕니다. 인시던트를 억제할 사전 결정된 전략과 절차가 있는 경우 이러한 결정을 더 쉽게 내릴 수 있습니다. AMS는 억제 전략을 제공한 다음 억제 작업 구현과 관련된 위험을 고려한 후 솔루션을 구현합니다.

분석 중인 리소스에 따라 다양한 억제 옵션이 있습니다. AMS는 인시던트 조사 중에 여러 유형의 억제가 동시에 배포될 것으로 예상합니다. 이러한 예제 중 일부는 다음과 같습니다.

  • 보호 규칙을 적용하여 무단 트래픽 차단(보안 그룹, NACL, WAF 규칙, SCP 규칙, 거부 목록, 격리 또는 차단으로 서명 작업 설정)

  • 리소스 격리

  • 네트워크 격리

  • IAM 사용자, 역할 및 정책 비활성화

  • IAM 사용자, 역할 권한 수정/축소

  • 컴퓨팅 리소스 종료/일시 중지/삭제

  • 영향을 받는 리소스에서 퍼블릭 액세스 제한

  • 액세스 키, API 키 및 암호 교체

  • 공개된 자격 증명 및 민감한 정보 스크러빙

AMS는 위험 선호도 내에 있는 각 주요 인시던트 유형에 대한 억제 전략 유형을 고려하는 것이 좋습니다. 인시던트 발생 시 의사 결정에 도움이 되는 기준이 명확하게 문서화되어 있습니다. 적절한 전략을 결정하기 위한 기준은 다음과 같습니다.

  • 리소스의 잠재적 손상

  • 증거 보존

  • 서비스 사용 불가(예: 네트워크 연결, 외부 당사자에게 제공되는 서비스)

  • 전략을 구현하는 데 필요한 시간 및 리소스

  • 전략의 효율성(예: 부분 격리, 전체 격리)

  • 솔루션의 영구성(예: 단방향 출입구와 양방향 출입구 결정)

  • 솔루션 기간(예: 긴급 해결 방법은 4시간 내에 제거, 임시 해결 방법은 2주 내에 제거, 영구 솔루션).

  • 켤 수 있는 보안 제어를 적용하여 위험을 낮추고 시간을 내어 보다 효과적인 억제를 정의하고 구현할 수 있습니다.

억제 속도가 매우 중요하므로 AMS는 단기 및 장기 접근 방식을 전략화하여 효율적이고 효과적인 억제를 달성하기 위해 단계적 접근 방식을 권장합니다.

이 가이드를 사용하여 리소스 유형에 따라 다양한 기법이 포함된 억제 전략을 고려하세요.

  • 억제 전략

    • AMS가 보안 인시던트의 범위를 식별할 수 있습니까?

      • 그렇다면 모든 리소스(사용자, 시스템, 리소스)를 식별합니다.

      • 그렇지 않으면 식별된 리소스에 대해 다음 단계를 실행하는 것과 병행하여 조사합니다.

    • 리소스를 격리할 수 있나요?

      • 그렇다면 영향을 받는 리소스를 격리합니다.

      • 그렇지 않은 경우 시스템 소유자 및 관리자와 협력하여 문제를 격리하는 데 필요한 추가 조치를 결정합니다.

    • 영향을 받는 모든 리소스가 영향을 받지 않는 리소스로부터 격리되어 있나요?

      • 그렇다면 다음 단계로 계속 진행합니다.

      • 그렇지 않은 경우 인시던트가 더 이상 에스컬레이션되지 않도록 단기 격리가 완료될 때까지 영향을 받는 리소스를 계속 격리합니다.

  • 시스템 백업

    • 추가 분석을 위해 영향을 받는 시스템의 백업 복사본이 생성되었나요?

    • 포렌식 사본은 암호화되어 안전한 위치에 저장되나요?

      • 그렇다면 다음 단계로 계속 진행합니다.

      • 그렇지 않으면 포렌식 이미지를 암호화한 다음 안전한 위치에 저장하여 우발적인 사용, 손상 및 변조를 방지합니다.