遏制
就事件响应而言,遏制的一种定义是:在处理安全事件期间,为最大限度地缩小安全事件的范围并控制环境中未经授权使用的影响,所采取的策略执行或实现过程。
遏制策略取决于众多因素,不同组织在遏制战术的应用、时机和目的方面可能各不相同。《NIST SP 800-61 计算机安全事件处理指南
-
资源可能遭受损害甚至被窃取
-
需要保留证据
-
服务可用性(网络连接、向外部提供的服务)
-
实施策略所需的时间与资源
-
策略有效性(部分遏制或完全遏制)
-
解决方案持续时间(应急方案需在四小时内删除,临时方案需在两周内删除,以及永久方案)
然而,对于 AWS 上的服务,基本的遏制步骤可归纳为三类:
-
源遏制:使用筛选和路由功能,阻止来自特定源的访问。
-
技术与访问遏制:删除访问权限,阻止对受影响资源的未经授权的访问。
-
目标遏制:使用筛选和路由功能,阻止对目标资源的访问。
