인시던트 대응을 위한 보안 권장 사항

조직에서 보안 이벤트가 발생하면 사용자는 문제에 대응할 준비가 되어 있어야 합니다. 모든 사용자는 조직의 보안 대응 프로세스를 기본적으로 이해해야 합니다. 성공적인 인시던트 대응 프로그램에는 계획, 훈련 및 경험이 매우 중요합니다. 잠재적 보안 이벤트가 발생하기 전에 조직을 준비하는 것이 가장 좋습니다. AWS Well-Architected 프레임워크는 클라우드에서 성공적인 인시던트 대응 프로그램에 필요한 준비, 운영 및 인시던트 후 활동이라는 세 가지 기반을 식별합니다. 자세한 내용은 AWS Well-Architected Framework의 AWS 인시던트 대응 측면을 참조하세요.

이벤트에 대해 알리거나 자동으로 대응하는 보안 제어를 제외하고 인시던트 대응을 위해 설정할 수 있는 제어는 제한적입니다. 강력한 인시던트 대응 태세는 주로 조직에서 사용하는 계획, 프로세스, 실행서, 플레이북 및 훈련 프로그램을 통해 설정됩니다. 이 섹션의 제어 및 권장 사항을 사용하여 인시던트 대응 프로그램에 대한 모범 사례를 구현할 수 있습니다. 인시던트 대응 및 구현 지침의 모범 사례에 대한 자세한 내용은 AWS Well-Architected Framework의 인시던트 대응을 참조하세요.

인시던트 대응 계획 정의

잘 정의된 인시던트 대응 계획(IRP)을 수립합니다. 인시던트 대응 계획은 인시던트 대응 프로그램의 기반이 되도록 설계되었습니다. 이 계획은 각 조직의 요구 사항을 충족하도록 사용자 지정해야 합니다.

자세한 정보는 다음 자료를 참조하세요.

• AWS 보안 인시던트 대응 안내서의 인시던트 대응 계획 개발 및 테스트

• AWS Well-Architected Framework에서 인시던트 관리 계획 개발

• AWS Well-Architected Framework에서 주요 담당자 및 외부 리소스 식별

인시던트 대응 런북 및 플레이북 생성 및 유지 관리

인시던트 대응 프로세스 준비의 주요 부분은 플레이북을 개발하는 것입니다. 인시던트 대응 플레이북은 보안 이벤트가 발생할 때 사용자가 따르는 일련의 권장 단계를 제공합니다. 명확한 구조와 단계가 있으면 응답이 간소화되고 인적 오류의 가능성이 줄어듭니다.

자세한 정보는 다음 자료를 참조하세요.

• AWS 보안 인시던트 대응 안내서의 에 대한 플레이북을 생성하는 방법

• 의 AWS 인시던트 대응 플레이북 샘플 GitHub

• AWS Well-Architected Framework에서 보안 인시던트 대응 플레이북 개발 및 테스트

이벤트 기반 보안 자동화 구현

보안 응답 자동화는 보안 이벤트에 자동으로 응답하거나 해결하도록 설계된 사전 정의되고 프로그래밍된 작업입니다. 이러한 자동화는 보안 모범 사례를 구현하는 데 도움이 되는 탐지 또는 대응 AWS 보안 제어 역할을 합니다. 자동 응답 작업의 예로는 VPC 보안 그룹 수정, Amazon EC2 인스턴스 패치 적용 또는 자격 증명 교체 등이 있습니다.

많은가 자동 응답을 AWS 서비스 지원합니다. 예를 들어 특정 지표에 대해 Amazon CloudWatch 경보를 구성할 수 있으며 경보가 상태를 변경하면 경보가 작업을 시작할 수 있습니다. Amazon EventBridge를 통해 및 Amazon Inspector의 결과에 대한 자동 응답 AWS Security Hub 및 문제 해결을 구성할 수도 있습니다.

자세한 내용은 아래 리소스를 참조하세요.

• 보안 블로그에서 AWS Amazon Inspector 보안 조사 결과 자동 수정

• 보안 블로그의에서 보안 응답 자동화 시작하기 AWS AWS

• AWS 솔루션 라이브러리의 에서 자동 보안 응답 AWS

• CloudWatch 설명서의 Amazon CloudWatch 경보 사용 CloudWatch

• Security Hub 설명서의 자동 응답 및 문제 해결

• Amazon Amazon Inspector EventBridge를 사용하여 Amazon Inspector 결과에 대한 사용자 지정 응답 생성 Amazon Inspector

운영 팀이에 어떻게 참여해야 하는지 문서화 지원

에 대해 기본 연락처와 3개의 대체 연락처를 정의할 AWS 계정수 있습니다. 각 AWS 계정 또는 조직에 대한 보안 연락처를 제공하는 것이 좋습니다.

AWS Support 는 AWS 솔루션의 성공 및 운영 상태를 지원할 수 있는 도구와 전문 지식에 대한 액세스를 제공하는 다양한 계획을 제공합니다. 또한 조직이 지원 계획 AWS Managed Services 대신를 사용하면 도움이 될지도 고려합니다. AWS Managed Services (AMS)는 모니터링, 인시던트 관리, 보안 지침, 패치 지원, AWS 워크로드 백업 등 AWS 인프라를 지속적으로 관리하여 보다 효율적이고 안전하게 운영할 수 있도록 지원합니다. AMS 지원 모델은 클라우드 운영 팀에 리소스가 제한된 조직에 더 적합할 수 있습니다. 이러한 모델과 계획을 비교하여 조직 사용 사례 및 클라우드 성숙도 수준에 가장 적합한 모델을 선택하는 것이 좋습니다.

자세한 정보는 다음 자료를 참조하세요.

• 보안 인시던트 AWS 대응 안내서의 대응 팀 및 지원 이해 AWS

• AWS 계정 관리 안내서의에 대한 대체 연락처 업데이트 AWS 계정

• AWS 웹 사이트의 플랜 비교 지원

• AWS 권장 가이드에서 AWS Managed Services 를 사용하여 목표 비즈니스 성과를 달성하기 위한 전략

보안 이벤트에 대한 알림 구성

이상을 감지하는 것은 해당 이상을 제어하기 위해 구현된 조치만큼 중요합니다. 알림은 감지 단계의 주요 구성 요소입니다. 관심 AWS 계정 활동을 기반으로 인시던트 대응 프로세스를 시작하는 알림을 생성합니다. 알림에 팀이 조치를 취할 관련 정보가 포함되어 있는지 확인합니다.

자세한 정보는 다음 자료를 참조하세요.

• AWS 보안 인시던트 대응 안내서의 탐지

• AWS Well-Architected Framework에서 포렌식 기능 준비

• AWS Well-Architected Framework에서 실행 가능한 보안 이벤트 구현