本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 復原 復原是將系統還原至已知安全狀態、在還原之前驗證備份是否安全或不受事件影響、測試系統在還原後是否正常運作,以及解決與安全事件相關的漏洞的程序。 復原的順序取決於您組織的需求。在復原過程中,您應該執行業務影響分析,以判斷至少: + 業務或相依性優先順序 + 還原計畫 + 身分驗證和授權 NIST SP 800-61 電腦安全事件處理指南提供數個復原系統的步驟,包括: + 從乾淨的備份還原系統。 + 在還原至系統之前,請確認已評估備份,以確保沒有感染,並防止安全事件再次發生。 備份應定期評估,作為災難復原測試的一部分,以確認備份機制正常運作,且資料完整性符合復原點目標。 + 如果可能,請在識別為根本原因分析一部分的第一個事件時間戳記之前使用 的備份。 + 從頭開始重建系統,包括使用自動化從信任來源重新部署,有時在新 AWS 帳戶中。 + 將遭入侵的檔案取代為乾淨版本。 您應該在執行此操作時特別小心。您必須絕對確定您要復原的檔案是已知安全且不受事件影響的檔案 + 安裝修補程式。 + 變更密碼。 + 這包括可能已遭到濫用的 IAM 主體密碼。 + 如果可能,我們建議您在最低權限策略中使用 IAM 委託人和聯合身分的角色。 + 限制網路周邊安全性 (防火牆規則集、邊界路由器存取控制清單)。 復原資源後,請務必擷取經驗教訓,以更新事件回應政策、程序和指南。 總而言之,必須實作復原程序,以促進返回已知的安全操作。復原可能需要很長的時間,並且需要與遏制策略的緊密連結,才能平衡對重新感染風險的業務影響。復原程序應包含還原資源和服務、IAM 主體,以及執行帳戶安全性審查以評估剩餘風險的步驟。