근절
보안 인시던트 대응과 관련하여 제거는 계정을 알려진 안전한 상태로 되돌리기 위해 의심스럽거나 승인되지 않은 리소스를 제거하는 것입니다. 근절 전략은 조직의 비즈니스 요구 사항에 따라 달라지는 여러 요인에 따라 달라집니다.
NIST SP 800-61 Computer Security Incident Handling Guide
-
악용된 모든 취약성을 식별하고 완화합니다.
-
맬웨어, 부적절한 재료 및 기타 구성 요소를 제거합니다.
-
영향을 받는 호스트가 더 많이 검색되면(예: 새로운 맬웨어 감염) 탐지 및 분석 단계를 반복하여 영향을 받는 다른 모든 호스트를 식별한 다음 해당 호스트에 대한 인시던트를 방지하고 근절합니다.
AWS 리소스의 경우 CloudWatch Logs, Amazon GuardDuty 등의 사용 가능한 로그 또는 자동화된 도구를 통해 탐지되고 분석된 이벤트를 통해 이를 더욱 세분화할 수 있습니다. 이러한 이벤트는 환경을 알려진 안전한 상태로 적절하게 복원하기 위해 수행해야 하는 문제 해결을 결정하는 기준이 되어야 합니다.
근절의 첫 번째 단계는 AWS 계정 내에서 어떤 리소스가 영향을 받았는지 파악하는 것입니다. 이는 사용 가능한 로그 데이터 소스, 리소스 및 자동 도구의 분석을 통해 이루어집니다.
-
계정의 IAM ID에서 수행한 무단 작업을 식별합니다.
-
계정에 대한 무단 액세스 또는 변경 사항을 식별합니다.
-
승인되지 않은 리소스 또는 IAM 사용자의 생성을 식별합니다.
-
무단 변경이 있는 시스템 또는 리소스를 식별합니다.
리소스 목록이 확인되면 각 리소스를 평가하여 리소스를 삭제하거나 복원할 경우 비즈니스에 미치는 영향을 결정해야 합니다. 예를 들어, 웹 서버가 비즈니스 애플리케이션을 호스팅하고 있고 이를 삭제하면 가동 중지 시간이 발생하는 경우, 영향을 받는 서버를 삭제하기 전에 검증된 안전한 백업에서 리소스를 복구하거나 깨끗한 AMI에서 시스템을 다시 시작하는 것이 좋습니다.
비즈니스 영향 분석을 완료한 후 로그 분석의 이벤트를 사용하여 계정으로 이동하여 다음과 같은 적절한 문제 해결을 수행해야 합니다.
-
키 교체 또는 삭제 - 이 단계에서는 행위자가 계정 내에서 활동을 계속 수행할 수 있는 기능이 제거됩니다.
-
잠재적으로 승인되지 않은 IAM 사용자 자격 증명을 교체합니다.
-
인식할 수 없거나 승인되지 않은 리소스를 삭제합니다.
중요
조사를 위해 리소스를 유지해야 하는 경우 해당 리소스를 백업하는 것이 좋습니다. 예를 들어 규제, 규정 준수 또는 법적 이유로 Amazon EC2 인스턴스를 유지해야 하는 경우 인스턴스를 제거하기 전에 Amazon EBS 스냅샷을 생성합니다.
-
맬웨어 감염의 경우 AWS Partner 또는 다른 벤더에 문의해야 할 수 있습니다. AWS는 맬웨어 분석 또는 제거를 위한 기본 도구를 제공하지 않습니다. 그러나 Amazon EBS용 GuardDuty 맬웨어 모듈을 사용하는 경우 제공된 조사 결과에 대한 권장 사항을 사용할 수 있습니다.
식별된 영향을 받는 리소스를 근절하면 AWS는 계정에 대한 보안 검토를 수행할 것을 권장합니다. 이는 AWS Config 규칙을 사용하거나 Prowler 및 ScoutSuite와 같은 오픈 소스 솔루션을 사용하거나 다른 벤더를 통해 수행할 수 있습니다. 또한 공개(인터넷) 대면 리소스에 대한 취약성 스캔을 수행하여 잔여 위험을 평가하는 것도 고려해야 합니다.
근절은 인시던트 대응 프로세스의 한 단계이며 인시던트와 영향을 받는 리소스에 따라 수동 또는 자동일 수 있습니다. 전반적인 전략은 조직의 보안 정책 및 비즈니스 요구 사항에 부합해야 하며 부적절한 리소스 또는 구성이 제거되면 부정적인 영향이 완화되는지 확인해야 합니다.
