기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SEC10-BP02 인시던트 관리 계획 개발
인시던트 대응을 위해 작성해야 할 첫 번째 문서는 인시던트 대응 계획입니다. 인시던트 대응 계획은 인시던트 대응 프로그램 및 전략의 기초가 되도록 설계되었습니다.
이 모범 사례 확립의 이점: 철저하고 명확하게 정의된 인시던트 대응 프로세스를 개발하는 것은 성공적이고 확장 가능한 인시던트 대응 프로그램의 핵심입니다. 보안 이벤트가 발생하면 명확한 단계 및 워크플로가 적시에 대응하는 데 도움이 됩니다. 기존 인시던트 대응 프로세스가 이미 있을 수 있습니다. 현재 상태에 관계없이 인시던트 대응 프로세스를 정기적으로 업데이트, 반복, 테스트하는 것이 중요합니다.
이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 높음
구현 가이드
인시던트 관리 계획은 보안 인시던트의 잠재적 영향에 대한 대응, 완화 및 복구에 매우 중요합니다. 인시던트 관리 계획은 보안 인시던트를 적시에 파악하고 해결 및 대응하기 위한 구조화된 프로세스입니다.
클라우드에는 온프레미스 환경에서 볼 수 있는 수많은 동일한 운영 역할과 요구 사항이 있습니다. 인시던트 관리 계획을 생성립할 때는 비즈니스 성과와 규정 준수 요구 사항에 가장 잘 맞는 대응 및 복구 전략을 고려하는 것이 중요합니다. 예를 들어 미국에서 AWS 연준RAMP을 준수하는 에서 워크로드를 운영하는 경우 NIST SP 800-61 컴퓨터 보안 취급 가이드
에서 워크로드에 대한 인시던트 관리 계획을 수립할 때는 인시던트 대응에 대한 접근 방식을 구축 defense-in-depth하기 위한 AWS 공동 책임 모델
효과적인 인시던트 관리 계획은 클라우드 운영 목표와 함께 끊임없이 반복되고 항상 최신 상태를 유지해야 합니다. 인시던트 관리 계획을 수립 및 개선할 때 아래에서 자세히 설명하는 구현 계획의 사용을 고려해 볼 수 있습니다.
구현 단계
역할과 책임 정의
보안 이벤트를 처리하려면 조직 간 규율과 행동 성향이 필요합니다. 조직 구조 내에는 인사(HR) 담당자, 경영진, 법무 담당자와 같이 인시던트 발생 시 책임이 있거나(Responsible) 책임을 지거나(Accountable) 자문을 받거나(Consulted) 최신 정보를 제공받는(Informed) 사람들이 많이 있어야 합니다. 이러한 역할 및 책임과 제3자가 개입해야 하는지 여부를 고려합니다. 많은 지역에 해야 할 일과 하지 말아야 할 일을 규정하는 현지 법률이 있습니다. 보안 대응 계획을 위한 책임감 있고, 책임감 있고, 컨설팅되고, 정보에 입각한 (RACI) 차트를 구축하는 것이 관료적인 것처럼 보일 수 있지만, 이렇게 하면 빠르고 직접적인 커뮤니케이션이 용이해지고 이벤트의 다양한 단계에서 리더십을 명확하게 설명할 수 있습니다.
영향을 받는 애플리케이션 및 리소스의 소유자와 개발자를 포함하여 인시던트가 발생하는 동안 영향을 측정하는 데 도움이 되는 정보와 컨텍스트를 제공할 수 있는 주제 전문가(SMEs)이기 때문에 중요합니다. 개발자 및 애플리케이션 소유자의 인시던트 대응 전문 지식에 의존하기 전에 이들과 함께 연습하고 관계를 구축해야 합니다. 클라우드 관리자 또는 엔지니어SMEs와 같은 애플리케이션 소유자 또는 는 환경이 익숙하지 않거나 복잡하거나 대응 담당자가 액세스할 수 없는 상황에서 조치를 취해야 할 수 있습니다.
마지막으로 신뢰할 수 있는 파트너는 추가적인 전문 지식과 가치 있는 조사를 제공할 수 있으므로 조사 또는 대응에 참여할 수 있습니다. 팀에 이러한 기술이 없다면 외부 담당자를 고용하여 도움을 받는 것이 좋습니다.
AWS 대응 팀 및 지원 이해
-
AWS Support
-
AWS Support
는 AWS 솔루션의 성공 및 운영 상태를 지원하는 도구와 전문 지식에 대한 액세스를 제공하는 다양한 계획을 제공합니다. AWS 환경을 계획, 배포 및 최적화하는 데 도움이 되는 기술 지원과 추가 리소스가 필요한 경우 AWS 사용 사례에 가장 적합한 지원 계획을 선택할 수 있습니다. -
AWS 리소스에 영향을 미치는 문제에 대한 지원을 받으려면 의 지원 센터
AWS Management Console (로그인 필요)를 중앙 연락 창구로 고려하세요. 에 대한 액세스 AWS Support 는 에서 제어합니다 AWS Identity and Access Management. AWS Support 기능에 액세스하는 방법에 대한 자세한 내용은 시작하기를 참조하세요 AWS Support.
-
-
AWS 고객 인시던트 대응 팀(CIRT)
-
AWS Customer Incident Response Team(CIRT)은 AWS 공동 책임 모델
의 고객 측에서 활성 보안 이벤트 중에 고객에게 지원을 제공하는 연중무휴 글로벌 전문 AWS 팀입니다. -
가 AWS CIRT 사용자를 지원하면 에서 활성 보안 이벤트에 대한 분류 및 복구에 대한 지원을 제공합니다 AWS. 서비스 AWS 로그를 사용하여 근본 원인 분석을 지원하고 복구를 위한 권장 사항을 제공할 수 있습니다. 또한 향후 보안 이벤트를 방지하는 데 도움이 되는 보안 권장 사항 및 모범 사례를 제공할 수 있습니다.
-
AWS 고객은 AWS Support 사례 를 통해 를 AWS CIRT 사용할 수 있습니다.
-
-
DDoS 응답 지원
-
AWS 는 에서 실행되는 웹 애플리케이션을 보호하는 관리형 분산 서비스 거부(DDoS) 보호 서비스를 AWS Shield
제공하는 를 제공합니다 AWS. Shield는 애플리케이션 가동 중지 시간과 지연 시간을 최소화할 수 있는 상시 감지 및 자동 인라인 완화 기능을 제공하므로 DDoS 보호 기능을 활용 AWS Support 하기 위해 참여할 필요가 없습니다. Shield: AWS Shield Standard 및 의 두 계층이 있습니다 AWS Shield Advanced. 이 두 티어의 차이점에 대해 알아보려면 Shield 기능 설명서 를 참조하세요.
-
-
AWS Managed Services (AMS)
-
AWS Managed Services (AMS)
는 애플리케이션에 집중할 수 있도록 AWS 인프라를 지속적으로 관리합니다. 인프라를 유지하기 위한 모범 사례를 구현하면 가 운영 오버헤드와 위험을 줄이는 데 AMS 도움이 됩니다. AMS 는 변경 요청, 모니터링, 패치 관리, 보안 및 백업 서비스와 같은 일반적인 활동을 자동화하고 인프라를 프로비저닝, 실행 및 지원하는 전체 수명 주기 서비스를 제공합니다. -
AMS 는 보안 탐지 제어 제품군을 배포하고 경보에 대한 24시간 연중무휴 1차 대응을 제공합니다. 알림이 시작되면 는 표준 자동 및 수동 플레이북 세트를 AMS 따라 일관된 응답을 확인합니다. 이러한 플레이북은 온보딩 중에 AMS 고객과 공유되므로 고객이 를 사용하여 응답을 개발하고 조정할 수 있습니다AMS.
-
인시던트 대응 계획 개발
인시던트 대응 계획은 인시던트 대응 프로그램 및 전략의 기초가 되도록 설계되었습니다. 인시던트 대응 계획은 공식 문서에 포함되어야 합니다. 인시던트 대응 계획에는 일반적으로 다음 섹션이 포함됩니다.
-
인시던트 대응 팀 개요: 인시던트 대응 팀의 목표와 기능을 간략하게 설명합니다.
-
역할 및 책임: 인시던트 대응 이해관계자를 나열하고 인시던트 발생 시 해당 이해관계자의 역할을 자세히 설명합니다.
-
커뮤니케이션 계획: 연락처 정보 및 인시던트 발생 시 커뮤니케이션 방법을 자세히 설명합니다.
-
백업 통신 방법: 인시던트 통신을 위한 백업으로 통신을 사용하는 out-of-band 것이 가장 좋습니다. 보안 out-of-band 통신 채널을 제공하는 애플리케이션의 예는 입니다 AWS Wickr.
-
인시던트 대응 단계 및 수행할 조치: 인시던트 대응의 단계(예: 탐지, 분석, 제거, 억제, 복구)를 열거합니다. 여기에는 해당 단계 내에서 취해야 할 상위 수준 조치가 포함됩니다.
-
인시던트 심각도 및 우선순위 정의: 인시던트의 심각도를 분류하는 방법, 인시던트의 우선순위를 지정하는 방법, 심각도 정의가 에스컬레이션 절차에 미치는 영향을 자세히 설명합니다.
이러한 섹션은 규모 및 업종이 다른 회사 간에 공통적으로 사용되지만 각 조직의 인시던트 대응 계획은 고유합니다. 조직에 가장 적합한 인시던트 대응 계획을 수립해야 합니다.
리소스
관련 모범 사례:
관련 문서:
