근절

근절 단계에서는 맬웨어 삭제, 손상된 사용자 계정 제거, 발견된 취약성 완화 등 영향을 받는 모든 계정, 리소스 및 인스턴스를 식별하고 해결하여 환경 전체에 균일한 해결 방법을 적용하는 것이 중요합니다.

근절 및 복구에 단계적 접근 방식을 사용하고 문제 해결 단계의 우선순위를 지정하는 것이 가장 좋습니다. 초기 단계의 목적은 향후 이벤트를 방지하기 위해 가치가 높은 변경 사항을 적용하여 전반적인 보안을 빠르게(며칠에서 몇 주) 강화하는 것입니다. 이후 단계에서는 인프라 변경 등의 장기적인 변화와 엔터프라이즈의 보안을 최대한 유지하기 위한 지속적인 작업에 집중할 수 있습니다. 각 사례는 고유하며 AWS CIRT는 고객과 협력하여 필요한 조치를 평가합니다. 

다음을 고려하세요.

• 시스템을 다시 이미지화하고 패치나 기타 대응책으로 시스템을 강화하여 공격의 위험을 방지하거나 줄일 수 있나요?

• 감염된 시스템을 새로운 인스턴스나 리소스로 교체하여 감염된 항목을 종료하는 동시에 깨끗한 기준선을 유지할 수 있나요?

• 무단 사용으로 인해 남아 있는 모든 맬웨어와 기타 아티팩트를 제거하고 영향을 받는 시스템을 추가 공격으로부터 강화했나요?

• 영향을 받는 리소스에 대한 포렌식 요구 사항이 있나요?