# 根除 就安全事件响应而言,根除是指清除可疑或未经授权的资源,以使账户恢复到已知安全状态。根除策略取决于多种因素,而这些因素取决于组织的业务需求。 《[NIST SP 800-61 计算机安全事件处理指南](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final)》提供了几个根除步骤: 1. 识别并缓解所有被利用的漏洞。 1. 清除恶意软件、不当材料及其他组件。 1. 如果发现更多受影响的主机(例如,新的恶意软件感染),则重复检测和分析步骤以识别所有其他受影响的主机,然后为其遏制和根除事件。 对于 AWS 资源,可通过可用日志或自动化工具(例如 CloudWatch Logs 和 Amazon GuardDuty)来检测和分析事件,进一步完善根除工作。应基于这些事件确定应当采取的补救措施,以将环境正确恢复到已知安全状态。 根除的第一步是确定 AWS 账户内哪些资源受到了影响。这可通过分析可用的日志数据来源、资源和自动化工具来实现。 + 识别账户中 IAM 身份采取的未经授权的操作。 + 识别对账户进行的未经授权的访问或更改。 + 识别创建的未经授权的资源或 IAM 用户。 + 识别存在未经授权的更改的系统或资源。 确定资源列表后,应对每项资源进行评估,以确定删除或恢复资源会产生的业务影响。例如,如果 Web 服务器托管业务应用程序,删除它会导致停机,那么在删除受影响的服务器之前,应考虑从经验证的安全备份中恢复资源,或者从纯净 AMI 重新启动系统。 完成业务影响分析后,应基于日志分析中的事件,进入账户并执行适当的补救措施,例如: + 轮换或删除密钥:此步骤可使行为者无法继续在账户中执行活动。 + 轮换可能未经授权的 IAM 用户凭证。 + 删除无法识别或未经授权的资源。 **重要** 如果出于调查需要必须保留资源,请考虑将这些资源备份。例如,如果出于监管、合规或法律原因必须保留 Amazon EC2 实例,请在删除该实例前[创建 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)。 + 对于恶意软件感染,可能需要联系 AWS Partner 或其他供应商。AWS 不提供用于恶意软件分析或删除的原生工具。但是,如果您使用的是适用于 Amazon EBS 的 GuardDuty 恶意软件模块,则提供的调查发现可能会包含相关建议。 在根除确定的受影响资源后,AWS 会建议您对账户进行安全审查。这可以借助 AWS Config 规则、Prowler 和 ScoutSuite 等开源解决方案,或通过其他供应商来完成。还应考虑对面向公众(互联网)的资源执行漏洞扫描,以评估残余风险。 根除是事件响应流程中的一个步骤,可以手动完成,也可以自动执行,具体取决于事件和受影响的资源。总体策略应与组织的安全策略和业务需求保持一致,并确保在删除不当资源或配置后减轻负面影响。