격리 - AWS 보안 인시던트 대응 사용 설명서

격리

AWS 보안 인시던트 대응는 고객과 협력하여 이벤트를 격리합니다. 알림에 대한 대응으로 계정에서 자동 및 수동 작업을 수행하도록 AWS 보안 인시던트 대응에 대한 서비스 역할을 구성할 수 있습니다. 또한 SSM 문서를 사용하여 직접 또는 타사 관계자와 협력하여 격리를 수행할 수도 있습니다.

격리의 필수적인 부분은 시스템 종료, 네트워크에서 리소스 격리, 액세스 차단 또는 세션 종료 여부와 같은 의사 결정입니다. 이러한 결정은 이벤트 격리를 위한 전략과 절차가 미리 정해져 있을 때 더욱 수월해집니다. AWS 보안 인시던트 대응은(는) 격리 전략을 제공하고, 잠재적 영향을 알려주며, 관련 위험을 고려하고 동의한 후에만 솔루션을 실행하도록 안내합니다.

AWS 보안 인시던트 대응는 지원되는 격리 조치를 사용자를 대신하여 실행하여 대응을 신속하게 진행하고 위협 행위자가 사용자 환경에 잠재적으로 피해를 입힐 수 있는 시간을 줄여줍니다. 이 기능을 사용하면 식별된 위협을 더 빠르게 완화하고 잠재적 영향을 최소화하며 전반적인 보안 태세를 강화할 수 있습니다. 분석 중인 리소스에 따라 다양한 격리 옵션이 있습니다. 지원되는 격리 조치는 다음과 같습니다.

  • EC2 격리: AWSSupport-ContainEC2Instance 격리 자동화는 EC2 인스턴스의 가역 네트워크 격리를 수행하여 인스턴스를 그대로 실행 상태로 유지하지만 새로운 네트워크 활동으로부터 격리하고 VPC 내부 및 외부 리소스와 통신하지 못하도록 합니다.

    중요

    보안 그룹 변경으로 인해 기존의 추적된 연결은 종료되지 않으며, 새로운 보안 그룹과 이 SSM 문서에 의해 향후 트래픽만 효과적으로 차단된다는 점에 유의하세요. 자세한 내용은 서비스 기술 가이드의 source containment 섹션에서 확인할 수 있습니다.

  • IAM 격리: AWSSupport-ContainIAMPrincipal 격리 자동화는 IAM 사용자 또는 역할에 대한 가역적 네트워크 격리를 수행하여 사용자 또는 역할을 IAM에 그대로 두지만 계정 내의 리소스와 통신하지 못하도록 격리합니다.

  • S3 격리: AWSSupport-ContainS3Resource 격리 자동화는 S3 버킷의 가역적 격리를 수행하여 객체를 버킷에 그대로 두고 액세스 정책을 수정하여 Amazon S3 버킷 또는 객체를 격리합니다.

중요

AWS 보안 인시던트 대응는 기본적으로 격리 기능을 활성화하지 않으므로 이러한 격리 조치를 실행하려면 먼저 역할을 사용하여 서비스에 필요한 권한을 부여해야 합니다. 필요한 역할을 생성하는 AWS CloudFormation StackSets 작업을 통해 계정당 또는 조직 전체에서 이러한 역할을 개별적으로 생성할 수 있습니다.

AWS 보안 인시던트 대응는 위험 수용 범위에 맞는 각 주요 이벤트 유형에 대한 격리 전략을 고려하도록 권장합니다. 이벤트 중 의사 결정에 도움이 되는 명확한 기준을 문서화하세요. 고려해야 할 기준은 다음과 같습니다.

  • 리소스의 잠재적 손상

  • 증거 및 규제 요구 사항 보존

  • 서비스 사용 불가(예: 네트워크 연결, 외부 당사자에게 제공되는 서비스)

  • 전략을 구현하는 데 필요한 시간 및 리소스

  • 전략의 효율성(예: 부분 격리 및 전체 격리)

  • 솔루션의 영구성(예: 가역적 및 비가역적)

  • 솔루션 기간(예: 긴급 해결 방법, 임시 해결 방법, 영구 해결 방법) 위험을 낮추고 보다 효과적인 격리 전략을 정의하고 실행할 수 있는 시간을 확보할 수 있는 보안 제어를 적용합니다.

AWS 보안 인시던트 대응는 리소스 유형에 따라 단기 및 장기 전략을 포함하는 단계적 접근 방식을 통해 효율적이고 효과적인 격리를 달성할 것을 권장합니다.

  • 격리 전략

    • AWS 보안 인시던트 대응는 보안 이벤트의 범위를 파악할 수 있나요?

      • 그렇다면 모든 리소스(사용자, 시스템, 리소스)를 식별합니다.

      • 그렇지 않으면 식별된 리소스에 대해 다음 단계를 실행하는 것과 병행하여 조사합니다.

    • 리소스를 격리할 수 있나요?

      • 그렇다면 영향을 받는 리소스를 격리합니다.

      • 그렇지 않은 경우 시스템 소유자 및 관리자와 협력하여 문제를 격리하는 데 필요한 추가 조치를 결정합니다.

    • 영향을 받는 모든 리소스가 영향을 받지 않는 리소스로부터 격리되어 있나요?

      • 그렇다면 다음 단계로 계속 진행합니다.

      • 그렇지 않으면 영향을 받는 리소스를 계속 격리하여 단기 격리를 완료하고 이벤트가 더 이상 에스컬레이션되지 않도록 합니다.

  • 시스템 백업

    • 추가 분석을 위해 영향을 받는 시스템의 백업 복사본이 생성되었나요?

    • 포렌식 사본은 암호화되어 안전한 위치에 저장되나요?

      • 그렇다면 다음 단계로 계속 진행합니다.

      • 그렇지 않으면 포렌식 이미지를 암호화한 다음 안전한 위치에 저장하여 우발적인 사용, 손상 및 변조를 방지합니다.