SEC10-BP03 포렌식 역량 확보

보안 사고에 앞서 보안 이벤트 조사를 지원하기 위한 포렌식 기능을 개발하는 것이 좋습니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 보통

기존 온프레미스 포렌식의 개념이 AWS에 적용됩니다. AWS 클라우드에서 포렌식 기능 구축을 시작하기 위한 주요 정보는 AWS 클라우드의 포렌식 조사 환경 전략을 참조하십시오.

포렌식을 위한 환경과 AWS 계정 계정 구조를 설정한 후에는 네 단계에 걸쳐 포렌식 방법론을 효과적으로 수행하는 데 필요한 기술을 정의하세요.

• 수집: AWS CloudTrail, AWS Config, VPC 흐름 로그, 호스트 수준 로그 등 관련 AWS 로그를 수집합니다. 가능한 경우 영향을 받은 AWS 리소스의 스냅샷, 백업, 메모리 덤프를 수집합니다.

• 검사: 관련 정보를 추출하고 평가하여 수집한 데이터를 검사합니다.

• 분석: 수집된 데이터를 분석하여 인시던트를 이해하고 결론을 도출합니다.

• 보고: 분석 단계의 결과 정보를 제시합니다.

구현 단계

포렌식 환경 준비

AWS Organizations 는 AWS 리소스의 성장과 확장에 따라 AWS 환경을 중앙에서 관리하고 제어할 수 있도록 도와줍니다. AWS 조직은 AWS 계정을 통합하여 단일 단위로 관리할 수 있도록 합니다. 조직 단위(OU)를 사용하여 계정을 그룹으로 묶어 단일 단위로 관리할 수 있습니다.

인시던트 대응에는 다음을 포함하는 인시던트 대응 기능을 지원하는 AWS 계정 구조를 갖는 것이 도움이 됩니다. 보안 OU 및 포렌식 OU. 보안 OU 내에는 다음에 대한 계정이 있어야 합니다.

• 로그 아카이브: 제한된 권한으로 로그 아카이브 AWS 계정에서 로그를 집계합니다.

• 보안 도구: 보안 도구 AWS 계정에서 보안 서비스를 중앙 집중화합니다. 이 계정은 보안 서비스에 대한 위임된 관리자 역할을 합니다.

포렌식 OU 내에서, 비즈니스와 운영 모델에 가장 적합한 것에 따라 운영하는 각 리전에 대해 단일 포렌식 계정 또는 여러 개의 계정을 구현할 수 있는 옵션이 있습니다. 리전별로 포렌식 계정을 생성하면 해당 리전 외부에서 AWS 리소스를 생성하는 것을 차단하고 리소스가 의도하지 않은 리전으로 복사되는 위험을 줄일 수 있습니다 예를 들어 US East (N. Virginia) Region(us-east-1) 및 US West (Oregon)(us-west-2)에서만 운영하는 경우 포렌식 OU에 두 개의 계정이 생깁니다. 하나는 us-east-1 , 다른 하나는 us-west-2입니다.

여러 리전에 대한 포렌식 AWS 계정 계정을 만들 수 있습니다. 데이터 주권 요구 사항을 준수하고 있는지 확인하기 위해 AWS 리소스를 해당 계정으로 복사할 때는 주의해야 합니다. 새 계정을 프로비저닝하는 데는 시간이 걸리므로, 사고 발생 훨씬 전에 포렌식 계정을 생성하고 계측하여 대응 담당자가 대응에 효과적으로 사용할 수 있도록 준비하는 것이 필수적입니다.

다음 다이어그램은 리전별 포렌식 계정이 있는 포렌식 OU를 포함한 샘플 계정 구조를 보여줍니다.

인시던트 대응을 위한 리전별 계정 구조

백업 및 스냅샷 캡처

주요 시스템과 데이터베이스의 백업을 설정하는 것은 보안 인시던트 복구 및 포렌식 용도로 매우 중요합니다. 백업을 설정하면 시스템을 이전의 안전한 상태로 복원할 수 있습니다. AWS에서는 다양한 리소스의 스냅샷을 생성할 수 있습니다. 스냅샷은 해당 리소스의 특정 시점 백업을 제공합니다. 백업 및 복구를 지원할 수 있는 많은 AWS 서비스가 있습니다. 백업 및 복구를 위한 이러한 서비스 및 접근 방식에 대한 자세한 내용은 백업 및 복구 규범 지침 및 백업을 사용한 보안 인시던트 복구를 참조하십시오.

특히 랜섬웨어와 같은 상황에서는 백업의 보안을 잘 유지하는 것이 중요합니다. 백업 보안에 대한 지침은 AWS에서의 백업 보안을 위한 10가지 주요 보안 모범 사례를 참조하십시오. 백업의 보안을 유지하는 것 외에도 정기적으로 백업 및 복원 프로세스를 테스트하여 보유한 기술과 프로세스가 정상적으로 작동하는지 확인해야 합니다.

포렌식 자동화

보안 이벤트가 발생하는 동안 사고 대응팀은 이벤트와 관련된 기간 동안 정확성을 유지하면서 증거를 신속하게 수집하고 분석할 수 있어야 합니다(예: 특정 이벤트 또는 리소스와 관련된 로그 캡처 또는 Amazon EC2 인스턴스의 메모리 덤프 수집). 특히 많은 인스턴스와 계정에서 관련 증거를 수동으로 수집하는 작업은 인시던트 대응팀에게 어렵고 시간이 많이 소요되는 업무입니다. 또한 수작업으로 수집하는 경우 인적 오류가 발생하기 쉽습니다. 이러한 이유로 포렌식을 위한 자동화를 최대한 개발하고 구현해야 합니다.

AWS는 포렌식을 위한 여러 가지 자동화 리소스를 제공하며 이는 아래 리소스 섹션에 열거되어 있습니다. 이러한 리소스는 AWS가 개발하고 고객이 구현한 포렌식 패턴의 예시입니다. 시작하기에 유용한 참조 아키텍처가 될 수 있지만, 환경, 요구 사항, 도구, 포렌식 프로세스에 따라 이를 수정하거나 새로운 포렌식 자동화 패턴을 생성하는 것을 고려하세요.

리소스

관련 문서:

• AWS 보안 인시던트 대응 가이드 - 포렌식 기능 개발

• AWS 보안 인시던트 대응 가이드 - 포렌식 리소스

• AWS 클라우드의 포렌식 조사 환경 전략

• AWS에서의 포렌식 디스크 수집을 자동화하는 방법

• AWS 권장 가이드 - 인시던트 대응 및 포렌식 자동화

관련 동영상:

• 인시던트 대응 및 포렌식 자동화

관련 예시:

• 자동화된 인시던트 대응 및 포렌식 프레임워크

• Amazon EC2에 대한 자동 포렌식 오케스트레이터