SEC10-BP04 보안 사고 대응 플레이북 개발 및 테스트

인시던트 대응 프로세스를 준비하는 데 있어 가장 중요한 부분은 플레이북을 개발하는 것입니다. 인시던트 대응 플레이북은 보안 이벤트가 발생했을 때 따라야 할 일련의 권장 가이드와 단계를 제공합니다. 명확한 구조와 단계를 갖추면 대응 프로세스가 간소화되고 인적 오류의 가능성이 줄어듭니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 중간

구현 가이드

다음과 같은 인시던트 시나리오에 대한 플레이북을 만들어야 합니다.

• 예상되는 인시던트: 예상되는 인시던트에 대한 플레이북을 만들어야 합니다. 여기에는 서비스 거부(DoS), 랜섬웨어, 자격 증명 유출과 같은 위협이 포함됩니다.

• 알려진 보안 조사 결과 또는 알림 : GuardDuty 조사 결과와 같은 알려진 보안 조사 결과 및 알림에 대해 플레이북을 생성해야 합니다. GuardDuty 조사 결과를 받아 '이제 무엇을?'라고 생각할 수 있습니다. GuardDuty 조사 결과의 잘못된 처리 또는 무시를 방지하려면 각 잠재적 GuardDuty 조사 결과에 대한 플레이북을 생성합니다. 일부 수정 세부 정보 및 지침은GuardDuty 설명서 에서 확인할 수 있습니다. GuardDuty 가 기본적으로 활성화되어 있지 않으며 비용이 발생한다는 점에 유의해야 합니다. 에 대한 자세한 내용은 부록 A: 클라우드 기능 정의 - 가시성 및 알림을 GuardDuty참조하세요. https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/visibility-and-alerting.html

플레이북에는 보안 분석가가 잠재적인 보안 사고를 적절히 조사하고 대응하기 위해 완료해야 할 기술 단계가 포함되어야 합니다.

구현 단계

플레이북에 포함할 항목은 다음과 같습니다.

• 플레이북 개요: 이 플레이북은 어떤 위험 또는 인시던트 시나리오를 다루고 있나요? 플레이북의 목표는 무엇인가요?

• 사전 조건: 이 인시던트 시나리오에 어떤 로그, 탐지 메커니즘 및 자동화된 도구가 필요한가요? 예상되는 알림은 무엇인가요?

• 커뮤니케이션 및 에스컬레이션 정보: 누가 관여하며 담당자의 연락처 정보는 무엇인가요? 관련된 각 이해관계자의 책임은 무엇인가요?

• 대응 단계: 인시던트 대응 단계 전반에서 어떤 전술적 단계를 수행해야 하나요? 분석가는 어떤 쿼리를 실행해야 하나요? 원하는 성과를 얻으려면 어떤 코드를 실행해야 하나요?

  • 감지: 어떻게 인시던트를 감지하나요?

  • 분석: 어떻게 영향 범위를 결정하나요?

  • 포함: 범위를 제한하기 위해 어떻게 인시던트를 격리하나요?

  • 근절: 환경에서 위협을 어떻게 제거하나요?

  • 복구: 영향을 받은 시스템이나 리소스를 어떻게 프로덕션 환경으로 복구하나요?

• 예상 결과: 쿼리와 코드가 실행된 후 플레이북의 예상 결과는 무엇인가요?

리소스

관련 Well-Architected 모범 사례:

• SEC10-BP02 - 인시던트 관리 계획 개발

관련 문서:

• Framework for Incident Response Playbooks 

• Develop your own Incident Response Playbooks 

• Incident Response Playbook Samples 

• Jupyter 플레이북 및 CloudTrail Lake를 사용하여 AWS 인시던트 대응 런북 구축