本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
遏制
AMS 的遏制方法是与您合作。您了解您的业务以及遏制活动可能对工作负载产生的影响,例如网络隔离、IAM 用户或角色取消预配、实例重建等。
遏制的一个重要部分是决策。例如,关闭系统、将资源与网络隔离开来,或者关闭访问或结束会话。如果有预先确定的策略和程序来遏制事件,则更容易做出这些决定。AMS 提供遏制策略,然后在您考虑实施遏制措施所涉及的风险后实施解决方案。
根据所分析的资源,有不同的控制选项。AMS预计,在事故调查期间,将同时部署多种类型的遏制措施。其中一些例子包括:
应用保护规则来阻止未经授权的流量(安全组、NACL、WAF 规则、SCP 规则、拒绝列出、将签名操作设置为隔离或阻止)
资源隔离
网络隔离
禁用 IAM 用户、角色和策略
修改/减少 IAM 用户、角色权限
终止/暂停/删除计算资源
限制公众访问受影响资源
轮换访问密钥、API 密钥和密码
-
清理披露的凭据和敏感信息
AMS鼓励您考虑风险偏好范围内的每种重大事件类型的遏制策略类型,并明确记录标准,以帮助在发生事件时做出决策。确定适当策略的标准包括:
资源潜在损害程度
保存证据
服务不可用性(如网络连接、向外部提供的服务)
实施策略所需的时间与资源
策略的有效性(例如,部分遏制、完全遏制)
解决方案的永久性(例如,单向门与双向门的决策)
解决方案的持续时间(例如,紧急变通方案将在四小时内删除,临时变通方案将在两周内删除,永久解决方案)。
应用您可以开启的安全控制措施来降低风险,并留出时间来定义和实施更有效的遏制措施。
遏制速度至关重要,AMS建议采取分阶段的方法,通过制定短期和长期方法来实现高效和有效的遏制。
使用本指南来考虑您的遏制策略,该策略涉及基于资源类型的不同技术。
遏制策略
AMS 能否确定安全事件的范围?
是:标记所有相关资源(用户、系统、资源)。
否:对已识别资源执行下一步,同时继续调查。
资源是否能被隔离?
是:立即隔离受影响资源。
否:协同系统负责人确定替代遏制方案。
所有受影响的资源是否都已与未受影响的资源隔离开来?
是:进入下一阶段。
如果不是,则继续隔离受影响的资源,直到完成短期遏制,以防止事件进一步升级。
系统备份
是否已创建受影响系统备份用于分析?
取证副本是否已加密并安全存储?
是:进入下一阶段。
否:立即加密取证映像并安全存储,防止意外使用、损坏或篡改。
