View a markdown version of this page

런북 - AWS 보안 인시던트 대응 가이드

런북

보안 이상이 탐지될 경우 사고를 통제하고 알려진 정상 상태로 되돌리는 것이 대응 계획의 중요한 요소입니다. 예를 들어 보안 구성 오류로 인해 이상이 발생한 경우 적절한 구성으로 리소스를 재배포하여 변형을 제거하는 것만으로 간단하게 해결할 수 있습니다. 이렇게 하려면 미리 계획을 세우고 런북이라고 하는 자체 보안 대응 절차를 정의해야 합니다.

런북은 작업 또는 일련의 작업을 수행하기 위한 조직 절차를 문서화한 것입니다. 이 문서는 일반적으로 내부 디지털 시스템이나 종이 문서에 저장됩니다. 현재 인시던트 대응 런북이 있을 수도 있고 보안 보증 프레임워크를 준수하기 위해 런북을 새로 생성해야 할 수도 있습니다. 그러나 기존에 작성된 런북을 수동으로 따를 경우 실수를 할 가능성이 높아집니다. 대신 반복 가능한 모든 작업을 자동화하는 것이 좋습니다. 자동화를 통해 대응 팀은 일반적인 작업에서 벗어나 이벤트 상관 관계, 시뮬레이션 연습, 새로운 대응 절차 고안, 연구 수행, 새로운 기술 개발, 새로운 도구 테스트 또는 구축과 같은 더 중요한 작업에 집중할 수 있습니다. 그러나 작업을 프로그래밍 가능한 로직으로 분해하고 반복을 통해 적절한 자동화를 구현하려면 먼저 런북을 작성해야 합니다.

런북 작성

클라우드용 런북을 작성하려면 먼저 현재 생성하고 있는 알림에 집중하는 것이 좋습니다. 알림을 생성하는 경우 알림을 조사하는 것이 중요합니다. 먼저 수행하고 있는 수동 프로세스에 대한 설명을 정의합니다. 그런 다음, 프로세스를 테스트하고 런북 패턴을 반복하여 대응의 핵심 로직을 개선합니다. 어떠한 예외가 있는지 그리고 그러한 시나리오에 대한 대체 해결 방법을 파악합니다. 예를 들어 개발 환경에서 잘못 구성된 Amazon EC2 인스턴스를 종료하고자 할 수 있습니다. 그런데 같은 이벤트가 프로덕션 환경에서 발생한 경우에는 인스턴스를 종료하는 대신 인스턴스를 중지한 후에 중요한 데이터가 손실되지 않으며 종료해도 괜찮은지를 이해 관계자와 함께 확인하고자 할 수도 있습니다.

최상의 솔루션을 결정한 후에는 로직을 코드 기반 솔루션으로 분해할 수 있습니다. 코드 기반 솔루션은 많은 대응 담당자가 대응을 자동화하고 대응 담당자의 편차나 추측을 제거하는 도구로 사용할 수 있습니다. 이렇게 하면 대응의 수명 주기가 빨라집니다. 다음 목표는 인간 대응 담당자에 의해 실행되는 것이 아니라 알림 또는 이벤트 자체에서 이 코드가 호출되도록 함으로써 완벽한 자동화를 구현하는 것입니다.

시작하기

어디서부터 시작해야 할지 잘 모르는 경우 AWS Trusted Advisor, AWS Security Hub의 기본 보안 모범 사례AWS Config 규칙(AWS Config 규칙 Github 리포지토리 포함)로 생성할 수 있는 알림으로 시작하는 것이 좋습니다. 그런 다음 관심 있는 시스템을 설명하는 서비스에서 생성된 이벤트에 초점을 맞추는 것이 좋습니다.

Amazon GuardDuty 및 Access Analyzer는 애플리케이션이 AWS에서 사용할 많은 도메인을 설명하므로 일반적으로 권장되며, Amazon Inspector와 Amazon Macie는 데이터 및 엔드포인트 문제가 있는 도메인에 사용하기에 적합합니다. Amazon GuardDuty 결과에 대한 자세한 내용은 Amazon GuardDuty 사용 설명서에서 확인할 수 있습니다. Access Analyzer 결과는 Amazon Access Analyzer 사용 설명서에서 확인할 수 있습니다. Macie 결과는 Amazon Macie 사용 설명서에서 확인할 수 있습니다. Amazon Inspector 결과는 Amazon Inspector 사용 설명서에서 확인할 수 있습니다. Security Hub는 이러한 결과를 한 곳으로 통합하고 짧은 대기 시간으로 함께 대응할 수 있는 기능을 제공하므로 문제 해결을 위한 중앙 위치로 권장됩니다.

위의 모든 서비스는 새로 생성된 알림 및 기존 알림에 대한 업데이트를 포함하여 결과 또는 알림에 변경 사항이 발생할 경우 Amazon CloudWatch Events를 통해 알림을 전송합니다. Amazon CloudWatch Events 규칙을 설정하여 이벤트 기반 응답을 수행하는 AWS Lambda 함수를 트리거할 수 있습니다. 그러나 사용자 지정 인사이트를 구축하고 애플리케이션 도메인에서 자체 결과를 추가하는 기능이 있다는 점은 대신 Security Hub를 사용해야 하는 중요한 이유입니다. 자세한 내용은 이벤트 기반 대응 단원을 참조하세요.