개념 및 용어
다음은 AWS 보안 인시던트 대응 서비스 및 그 작동 방식을 이해하는 데 중요한 용어 및 개념입니다.
범위: AWS 보안 인시던트 대응는 NIST(국립표준기술연구소) 800-61 Computer Security Incident Handling Guide를 준수하여 업계 모범 사례와 관련된 보안 이벤트 관리에 대한 일관된 접근 방식을 제공합니다.
분석: 보안 이벤트의 범위, 영향 및 근본 원인을 파악하기 위한 자세한 조사 및 검사입니다.
AWS 보안 인시던트 대응 서비스 포털: 보안 이벤트 사례를 시작하고 관리할 수 있는 셀프 서비스 포털입니다. 티켓팅 시스템, 자동 알림, 서비스 팀과의 직접 참여를 통해 지속적인 커뮤니케이션과 보고가 용이해집니다.
커뮤니케이션: 인시던트 대응 프로세스 중 AWS Security Incident Response 팀과 고객 간의 지속적인 대화 및 정보 공유입니다.
방지, 근절 및 복구: 추가적인 무단 활동을 방지하고, 승인되지 않은 리소스와 원래 취약성을 제거(근절)하고, 리소스를 복구하여 정상적으로 비즈니스로 복귀합니다.
지속적 개선: AWS 보안 인시던트 대응는 이전 참여에서 얻은 피드백과 파악한 내용을 통합하여 탐지 기능, 조사 프로세스 및 문제 해결 작업을 개선합니다. 또한 AWS 보안 인시던트 대응는 최신 보안 위협 및 모범 사례를 지속적으로 업데이트하여 끊임없이 변화하는 보안 과제를 해결합니다.
사이버 보안 이벤트: 정보 시스템 또는 네트워크를 사용하여 시스템, 네트워크 또는 여기에 포함된 정보에 부정적인 영향을 미치는 작업입니다.
사이버 보안 인시던트: 컴퓨터 보안 정책, 허용 가능한 사용 정책 또는 표준 보안 관행의 위반 또는 임박한 위반 위협입니다.
인시던트 대응 팀: 활성 보안 이벤트 중 지원을 제공하는 개인 그룹입니다. AWS 지원 사례의 경우 AWS Customer Incident Response Team(CIRT)입니다.
인시던트 대응 워크플로: NIST 800-61 표준에 따른 보안 이벤트의 엔드 투 엔드 관리와 관련된 정의된 순서의 단계와 활동입니다.
조사 도구: 계정과 리소스의 운영 상태를 검토하는 데 사용되는 AWS 보안 인시던트 대응 도구 및 서비스 연결 역할입니다.
파악한 내용: 개선이 필요한 영역을 식별하고 향후 인시던트 대응 계획에 알리기 위한 보안 이벤트 대응 검토 및 문서화 작업입니다.
모니터링 및 조사: AWS 보안 인시던트 대응는 Amazon GuardDuty의 보안 알림을 신속하게 검토하여 팀에서 분석해야 할 가장 중요한 알림을 최우선으로 표시합니다. 불필요한 알림을 방지하기 위해 환경의 특성에 따라 억제 규칙을 구성합니다.
준비: 인시던트 대응 계획과 테스트 절차를 개발하는 등 조직이 보안 이벤트에 효과적으로 대응하고 관리할 수 있도록 준비하는 활동입니다.
보고 및 커뮤니케이션: 자동 알림, 통화 연결, 조사 아티팩트 전달 등 인시던트 대응 프로세스 전반에 걸쳐 정보를 제공하는 데 사용되는 프로세스입니다. AWS 보안 인시던트 대응는 AWS Management Console에서 단일 중앙 대시보드를 제공하여 모든 AWS 보안 인시던트 대응 작업을 관리합니다.
대응 담당자 생성 인텔리전스: 침해 지표, 전술, 기술 및 절차, AWS CIRT 조사에서 관찰된 관련 패턴입니다.
보안 이벤트 전문성: 특히 AWS 클라우드 환경에서 보안 이벤트에 효과적으로 대응하고 관리하는 데 필요한 전문 지식과 기술입니다.
공동 책임 모델: AWS와 고객 간의 보안 책임 분담으로, AWS는 클라우드 보안을 책임지고 고객은 클라우드 내 보안을 책임집니다.
위협 인텔리전스: 진화하는 보안 위협을 식별하고 대응하는 데 도움이 되는 무단 활동의 세부 정보가 포함된 내부 및 외부 데이터 피드입니다.
티켓팅 시스템: 보안 이벤트 사례를 온보딩 및 관리하고, 첨부 파일을 추가하고, 인시던트 대응 수명 주기를 추적할 수 있는 전용 사례 관리 플랫폼입니다.
분류: 적절한 대응과 다음 단계를 결정하기 위한 보안 이벤트의 초기 평가 및 우선순위 지정입니다.
워크플로: 보안 이벤트의 엔드 투 엔드 관리와 관련된 정의된 순서의 단계와 활동입니다.
