역할과 책임 정의
인시던트 대응의 기술과 메커니즘은 신규 또는 대규모 이벤트를 처리할 때 가장 중요합니다. 이러한 이벤트는 팀이 개발한 서면 표준과 팀이 보유한 관행에 의존합니다. 이벤트가 취할 모든 잠재적 방향을 예측하거나 체계화할 수 없기 때문에 인스턴스 메모리 또는 진단 로그 수집과 같은 단순하고 반복적인 작업을 자동화하여 인간이 어려운 결정을 내릴 수 있도록 합니다. 명확하지 않은 보안 이벤트를 처리하려면 조직 간 규율, 결정적인 조치에 대한 편향 및 결과 제공 능력이 필요합니다. 조직 구조 내에는 HR(인사), 경영진 및 법무 담당자와 같이 인시던트 발생 시 책임을 지거나 자문을 하거나 최신 정보를 제공하는 사람이 많이 있어야 합니다. 이러한 역할과 책임, 그리고 제3자가 참여해야 하는지 여부를 고려합니다. 대부분의 지역에는 할 수 있는 것과 할 수 없는 일을 규정하는 현지 법률이 있습니다. 인시던트에 대해 RACI(책임, 해명, 자문, 정보) 차트를 작성하는 것이 관료적으로 보일 수 있지만, 이렇게 하면 빠르고 직접적인 의사 소통이 가능하며 이벤트의 여러 단계에서 리더십을 명확하게 설명할 수 있습니다.
신뢰할 수 있는 파트너는 조사 또는 대응에 참여할 수 있으며 추가 전문 지식과 귀중한 조사를 제공합니다. 팀에 이러한 기술이 없는 경우 외부 전문가를 고용하여 도움을 받을 수 있습니다. 외부 전문가를 고용하는 경우 이 전문가가 팀원을 교육하도록 하는 것이 좋습니다. 이러한 외부 전문가가 내부 개발자 및 운영 담당자와 협력하면 팀 구성원의 기술을 확장할 수 있으며 향후 IR 프로그램에 새로운 전문 지식을 유용하게 활용할 수 있습니다.
인시던트 중에는 영향을 받는 애플리케이션 및 리소스의 소유자와 개발자를 포함하는 것이 중요합니다. 이들은 정보와 컨텍스트를 제공할 수 있는 SME(주제 전문가)이기 때문입니다. 인시던트 대응을 위해 전문 지식에 의존하기 전에 개발자 및 애플리케이션 소유자와 연습하고 관계를 구축하는 것이 좋습니다. 애플리케이션 소유자 또는 SME는 환경이 익숙하지 않거나 예기치 않게 복잡하거나 대응 담당자가 액세스할 수 없는 상황에서 조치를 취해야 할 수 있습니다. 애플리케이션 SME는 IR 팀과 함께 연습하고 편안하게 작업해야 합니다.
교육 제공
의존도와 대응 시간을 줄이려면 보안 팀과 대응 담당자가 클라우드 서비스에 대한 교육을 받고 조직에서 사용하는 특정 클라우드 플랫폼을 직접 실습할 수 있는 기회를 제공해야 합니다. 이 교육 중 일부는 프로세스 시작 시 수행되는 팀 구축 및 런북 작성에서 제공됩니다. 런북을 작성하는 초기 단계에 가능한 한 많은 사람을 포함시키면 내부 팀을 더 잘 이해할 수 있습니다. 이 교육은 내부 팀이 탁상 연습에서 런북을 따르기 시작함에 따라 더욱 현실적이 됩니다.
또한 AWS 및 기타 서드 파티에서는 다운로드하여 진행할 수 있는 온라인 보안 워크숍(AWS 보안 워크숍
AWS는 디지털 교육, 강의실 교육, APN 파트너 및 자격증을 통해 다양한 교육 옵션과 학습 경로를 제공합니다. 자세한 내용은 AWS Training & Certification
