복구 - AWS 보안 인시던트 대응 사용 설명서

복구

복구는 시스템을 알려진 안전 상태로 복원하고, 복원 전에 백업이 안전하거나 인시던트의 영향을 받지 않는지 검증하고, 복원 후 시스템이 제대로 작동하는지 테스트하고, 보안 이벤트와 관련된 취약성을 해결하는 프로세스입니다.

복구 순서는 조직의 요구 사항에 따라 다릅니다. 복구 프로세스의 일환으로 최소한 다음을 결정하기 위해 비즈니스 영향 분석을 수행해야 합니다.

  • 비즈니스 또는 종속성 우선순위

  • 복원 계획

  • 인증 및 권한 부여

NIST SP 800-61 Computer Security Incident Handling Guide에서는 시스템 복구를 위한 몇 가지 단계를 제공합니다.

  • 클린 백업에서 시스템 복원

    • 시스템으로 복원하기 전에 백업을 평가하여 감염이 없는지 확인하고 보안 이벤트의 재발을 방지하세요.

      백업 메커니즘이 제대로 작동하고 데이터 무결성이 복구 시점 목표를 충족하는지 확인하기 위해 재해 복구 테스트의 일환으로 백업을 정기적으로 평가해야 합니다.

    • 가능하면 근본 원인 분석의 일부로 식별된 첫 번째 이벤트 타임스탬프 이전의 백업을 사용하세요.

  • 자동화를 사용하여 신뢰할 수 있는 소스에서 다시 배포하는 것을 포함하여 시스템을 처음부터 다시 구축합니다. 이 작업은 새로운 AWS 계정에서 수행됩니다.

  • 클린 버전으로 손상된 파일 교체

    이 작업을 수행할 때는 각별히 주의해야 합니다. 복구 중인 파일이 인시던트의 영향을 받지 않고 안전한 것으로 알려져 있는지 반드시 확인해야 합니다.

  • 패치 설치

  • 암호 변경

    • 여기에는 침해되었을 수 있는 IAM 위탁자의 암호가 포함됩니다.

    • 가능하면 최소 권한 전략의 일부로 IAM 위탁자 및 페더레이션에 역할을 사용하는 것이 좋습니다.

  • 네트워크 경계 보안 강화(방화벽 규칙 세트, 경계 라우터 액세스 제어 목록).

리소스가 복구되면 파악한 내용을 수집하여 인시던트 대응 정책, 절차 및 가이드를 업데이트하는 것이 중요합니다.

요약하면 알려진 안전한 작업으로의 반환을 용이하게 하는 복구 프로세스를 구현하는 것이 중요합니다. 복구에는 오랜 시간이 걸릴 수 있으며, 비즈니스 영향과 재인증 위험의 균형을 맞추려면 격리 전략과의 밀접한 연결이 필요합니다. 복구 절차에는 리소스 및 서비스, IAM 위탁자를 복원하고 계정에 대한 보안 검토를 수행하여 잔여 위험을 평가하는 단계가 포함되어야 합니다.