준비 항목 요약 - AWS 보안 인시던트 대응 사용 설명서

준비 항목 요약

보안 인시던트에 대응하기 위한 철저한 준비는 시기적절하고 효과적인 인시던트 대응에 매우 중요합니다. 인시던트 대응 준비에는 사람, 프로세스, 기술이 필요합니다. 이 세 가지 영역 모두 인시던트 대응 준비에 있어 똑같이 중요합니다. 세 가지 영역 모두에 걸쳐 인시던트 대응 프로그램을 준비하고 발전시켜야 합니다.

표 2에 이 섹션에서 자세히 설명하는 준비 항목이 요약되어 있습니다.

표 2 - 인시던트 대응 준비 항목

도메인 준비 항목 작업 항목
사람 역할과 책임을 정의합니다.
  • 관련 인시던트 대응 이해관계자를 식별합니다.

  • 인시던트에 대한 RACI(Responsible, Accountable, Consulted, Informed) 차트를 작성합니다.

사람 인시던트 대응 직원에게 AWS에 대해 교육합니다.
  • 인시던트 대응 이해관계자를 대상으로 AWS 파운데이션에 대한 교육을 실시합니다.

  • 인시던트 대응 이해관계자를 대상으로 AWS 보안 및 모니터링 서비스에 대한 교육을 실시합니다.

  • 인시던트 대응 이해관계자를 대상으로 AWS 환경과 그 설계 방식에 대한 교육을 실시합니다.

사람 AWS 지원 옵션을 이해합니다.
  • AWS Support, CIRT(Customer Incident Response Team), DDoS 대응 팀(DRT) 및 AMS의 차이점을 이해합니다.

  • 필요한 경우 활성 보안 이벤트 중 CIRT에 도달하기 위한 분류 및 에스컬레이션 경로를 이해합니다.

프로세스 인시던트 대응 계획을 개발합니다.
  • 인시던트 대응 프로그램 및 전략을 정의하는 개요 수준 문서를 생성합니다.

  • RACI, 커뮤니케이션 계획, 인시던트 정의 및 인시던트 대응 계획에 대한 인시던트 대응 단계를 포함합니다.

프로세스 아키텍처 다이어그램을 문서화하고 중앙 집중화합니다.
  • AWS 환경이 계정 구조, 서비스 사용, IAM 패턴 및 AWS 구성의 기타 핵심 기능에 걸쳐 어떻게 구성되는지에 대한 세부 정보를 문서화합니다.

  • 클라우드 아키텍처의 아키텍처 다이어그램을 개발합니다.

프로세스 인시던트 대응 플레이북을 개발합니다.
  • 플레이북 구조에 대한 템플릿을 만듭합니다.

  • 예상되는 보안 이벤트에 대한 플레이북을 작성합니다.

  • GuardDuty 조사 결과와 같은 알려진 보안 알림을 위한 플레이북을 작성합니다.

프로세스 정기 시뮬레이션을 실행합니다.
  • 인시던트 시뮬레이션을 실행하기 위한 정기적인 주기를 개발합니다.

  • 얻은 결과와 파악한 내용을 사용하여 인시던트 대응 프로그램을 반복합니다.

기술 AWS 계정 구조를 개발합니다.
  • 워크로드를 계정별로 분리하는 방법에 대한 AWS 계정 구조를 계획합니다.

  • 보안 도구 및 로그 아카이브 계정으로 보안 OU를 생성합니다.

  • 운영하는 각 리전의 포렌식 계정으로 포렌식 OU를 생성합니다.

기술 대응 담당자가 조사 결과에 대한 소유권과 컨텍스트를 식별하는 데 도움이 되는 태깅 전략을 개발하고 구현합니다.
  • 태깅 전략과 AWS 리소스와 연결할 태그를 계획합니다.

  • 태깅 전략을 구현하고 적용합니다.

기술 AWS 계정 연락처 정보를 업데이트합니다.
  • AWS 계정에 연락처 정보가 나열되어 있는지 확인합니다.

  • 연락처 정보에 대한 이메일 배포 목록을 생성하여 단일 장애 지점을 제거합니다.

  • AWS 계정 정보와 연결된 이메일 계정을 보호합니다.

기술 AWS 계정에 대한 액세스를 준비합니다.
  • 인시던트 대응에 필요한 액세스 인시던트 대응 담당자를 정의합니다.

  • 액세스를 구현, 테스트 및 모니터링합니다.

기술 위협 환경을 이해합니다.
  • 환경 및 애플리케이션의 위협 모델을 개발합니다.

  • 사이버 위협 인텔리전스를 통합하고 사용합니다.

기술 로그를 선택하고 설정합니다.
  • 조사를 위한 로그를 식별하고 활성화합니다.

  • 로그 스토리지를 선택합니다.

  • 로그 보존을 식별하고 구현합니다.

  • 로그와 아티팩트를 검색하고 쿼리하는 메커니즘을 개발합니다.

  • 알림에 로그를 사용합니다.

기술 포렌식 기능을 개발합니다.
  • 포렌식 수집에 필요한 아티팩트를 식별합니다.

  • 주요 시스템의 백업을 캡처하고 보호합니다.

  • 식별된 로그와 아티팩트 분석을 위한 메커니즘을 정의합니다.

  • 포렌식 분석을 위한 자동화를 구현합니다.

인시던트 대응 준비에는 반복적인 접근 방식이 권장됩니다. 이러한 모든 준비 항목은 하루아침에 이루어질 수 없으므로 작은 것부터 시작하여 시간이 지나면서 지속적으로 인시던트 대응 능력을 향상시킬 수 있는 계획을 세워야 합니다.