根除
在根除阶段,必须全面识别并处理所有受影响的账户、资源及实例(包括删除恶意软件、清除遭入侵的用户账户、修复已发现的漏洞),以便在整个环境中实施统一的修复措施。
最佳实践是采用分阶段根除与恢复方案,并优先处理关键修复步骤。早期阶段旨在通过高价值变更快速(数日至数周内)提升整体安全性,预防未来发生安全事件。后期阶段则侧重于长期变更(例如基础设施改造)和持续优化工作来尽力保障企业安全。每个案例都具有独特性,AWS CIRT 会协助您评估需采取的必要措施。
请考虑以下事项:
-
能否通过系统重装并应用补丁或其他防护措施来消除或降低攻击风险?
-
能否以全新实例替换受感染系统,在终止污染项目的同时建立洁净基准?
-
是否已清除所有恶意软件及未授权使用痕迹,并针对进一步攻击对受影响系统进行强化?
-
是否需要对受影响资源进行取证?
