대응 제어

대응 제어는 보안 기준에서 벗어나거나 부정적인 이벤트를 해결하도록 설계된 보안 제어입니다. 기술적 대응 제어의 예로는 시스템 패치 적용, 바이러스 격리, 프로세스 종료, 시스템 재부팅 등이 있습니다.

목표

• 대응 제어를 사용하면 피싱 또는 무차별 대입 공격과 같은 일반적인 유형의 공격에 대한 런북을 만들 수 있습니다.

• 대응 제어를 통해 잠재적 보안 문제에 대한 자동 대응을 구현할 수 있습니다.

• 반응형 제어를 통해 암호화되지 않은 S3 버킷 삭제와 같이 AWS 리소스에서 의도하지 않거나 승인되지 않은 작업을 자동으로 수정할 수 있습니다.

• 예방 및 탐지 제어와 함께 작동하도록 반응형 제어를 오케스트레이션하여 잠재적 보안 인시던트를 해결하기 위한 총체적이고 선제적인 접근 방식을 만들 수 있습니다.

프로세스

탐지 제어는 대응 제어를 구축하기 위한 사전 조건입니다. 보안 문제를 탐지할 수 있어야 수정할 수 있습니다. 그런 다음 보안 문제에 대한 정책 또는 대응을 수립할 수 있습니다. 예를 들어, 무차별 대입 공격이 발생하는 경우 수정 프로세스가 구현됩니다. 수정 프로세스가 완료되면 쉘 스크립트와 같은 프로그래밍 언어를 사용하여 수정 프로세스를 자동화하고 스크립트로 실행할 수 있습니다.

대응 제어가 기존 프로덕션 워크로드를 손상시킬 수 있는지 생각해 보세요. 예를 들어, 탐지 보안 제어가 S3 버킷은 공개적으로 액세스할 수 없어야 하고 수정이 Amazon S3에 대한 퍼블릭 액세스를 끄는 경우 이는 회사와 고객에게 중요한 영향을 미칠 수 있습니다. S3 버킷이 퍼블릭 웹 사이트에 서비스를 제공하는 경우 퍼블릭 액세스를 끄면 서비스 중단이 발생할 수 있습니다. 데이터베이스도 비슷한 예입니다. 인터넷을 통해 공개적으로 데이터베이스에 액세스할 수 없어야 하는 경우 퍼블릭 액세스를 끄면 애플리케이션 연결에 영향을 미칠 수 있습니다.

사용 사례

• 탐지된 보안 이벤트에 대한 자동 대응

• 탐지된 보안 취약점의 자동 해결

• 운영 가동 중지 시간을 줄이기 위한 자동 복구 제어

기술

Security Hub

AWS Security Hub모든 새로운 발견과 기존 발견의 모든 업데이트를 이벤트로 자동으로 전송합니다. EventBridge 선택한 검색 결과 및 인사이트 결과를 에 보내는 사용자 지정 작업을 만들 수도 EventBridge 있습니다. 각 유형의 이벤트에 EventBridge 응답하도록 구성할 수 있습니다. 이벤트는 수정 작업을 수행하는 AWS Lambda 기능을 시작할 수 있습니다.

AWS Config

AWS Config규칙을 사용하여 리소스를 평가하고 규정을 준수하지 AWS 않는 리소스를 수정하는 데 도움을 줍니다. AWS Config 자동화를 사용하여 수정을 적용합니다.AWS Systems Manager 자동화 문서에서는 규정을 준수하지 않는 것으로 AWS Config 판단되는 리소스에 대해 수행할 작업을 정의합니다. 자동화 문서를 생성한 후에는 Systems Manager에서 를 통해 AWS Management Console 또는 API를 사용하여 사용할 수 있습니다. 규정 미준수 리소스를 수동으로 또는 자동으로 수정하도록 선택할 수 있습니다.

비즈니스 성과

데이터 손실 최소화

사이버 보안 인시던트 이후 대응 보안 제어를 사용하면 시스템 또는 네트워크의 손상과 데이터 손실을 최소화하는 데 도움이 될 수 있습니다. 또한 대응 제어를 통해 중요한 비즈니스 시스템과 프로세스를 최대한 빨리 복원하여 워크로드의 복원력을 높일 수 있습니다.

비용 절감

자동화를 통해 팀원들이 사고에 수동으로 대응하거나 다른 방식으로 상황을 관리할 필요가 없으므로 인적 자원과 관련된 비용이 case-by-case 절감됩니다.