# 恢复 恢复是指将系统恢复到已知安全状态的流程,在此期间,需要在恢复之前确认备份是否安全或未受事件影响,然后进行测试以确认系统在恢复后正常运行,以及解决与安全事件相关的漏洞。 恢复顺序取决于组织的要求。作为恢复流程的一部分,需要进行业务影响分析,至少确定: + 业务或依赖项的优先级 + 恢复计划 + 身份验证和授权 《NIST SP 800-61 计算机安全事件处理指南》提供了几个系统恢复步骤,包括: + 从纯净备份恢复系统。 + 在将备份恢复到系统之前,需确认是否对备份进行评估,排除感染情况,防止安全事件卷土重来。 作为灾难恢复测试的一部分,应定期评估备份,以确认备份机制是否正常运行以及数据完整性是否符合恢复点目标。 + 如果可能,请使用在根本原因分析中确定的第一个事件时间戳之前的备份。 + 从头开始重建系统,包括使用自动化工具从可信来源重新部署(有时需要在新 AWS 账户中进行)。 + 将受损文件替换为纯净版本。 执行此操作时应格外小心。必须完全确定要恢复的文件处于已知安全状态,且未受事件影响 + 安装补丁。 + 更改密码。 + 这包括可能已被滥用的 IAM 主体的密码。 + 如果可能,建议采用适用于 IAM 主体和联合身份验证的角色,作为最低权限策略的一部分。 + 加强网络周边安全(防火墙规则集、周边路由器访问控制列表)。 资源恢复后,必须总结经验教训,以更新事件响应策略、程序和指南。 总之,必须实施恢复已知安全运营的恢复流程。恢复可能需要很长时间,并且需要密切结合遏制策略,以平衡业务影响和再次感染的风险。恢复程序应当包括恢复资源和服务、IAM 主体的步骤,以及对账户进行安全审查以评估残余风险的步骤。