根除

就安全事件响应而言，根除是指清除可疑或未经授权的资源，以使账户恢复到已知安全状态。根除策略取决于多种因素，而这些因素取决于组织的业务需求。

《NIST SP 800-61 计算机安全事件处理指南》提供了几个根除步骤：

1. 识别并缓解所有被利用的漏洞。

2. 清除恶意软件、不当材料及其他组件。

3. 如果发现更多受影响的主机（例如，新的恶意软件感染），则重复检测和分析步骤以识别所有其他受影响的主机，然后为其遏制和根除事件。

对于 AWS 资源，可通过可用日志或自动化工具（例如 CloudWatch Logs 和 Amazon GuardDuty）来检测和分析事件，进一步完善根除工作。应基于这些事件确定应当采取的补救措施，以将环境正确恢复到已知安全状态。

根除的第一步是确定 AWS 账户内哪些资源受到了影响。这可通过分析可用的日志数据来源、资源和自动化工具来实现。

• 识别账户中 IAM 身份采取的未经授权的操作。

• 识别对账户进行的未经授权的访问或更改。

• 识别创建的未经授权的资源或 IAM 用户。

• 识别存在未经授权的更改的系统或资源。

确定资源列表后，应对每项资源进行评估，以确定删除或恢复资源会产生的业务影响。例如，如果 Web 服务器托管业务应用程序，删除它会导致停机，那么在删除受影响的服务器之前，应考虑从经验证的安全备份中恢复资源，或者从纯净 AMI 重新启动系统。

完成业务影响分析后，应基于日志分析中的事件，进入账户并执行适当的补救措施，例如：

• 轮换或删除密钥：此步骤可使行为者无法继续在账户中执行活动。

• 轮换可能未经授权的 IAM 用户凭证。

• 删除无法识别或未经授权的资源。

  重要

  如果出于调查需要必须保留资源，请考虑将这些资源备份。例如，如果出于监管、合规或法律原因必须保留 Amazon EC2 实例，请在删除该实例前创建 Amazon EBS 快照。

• 对于恶意软件感染，可能需要联系 AWS Partner 或其他供应商。AWS 不提供用于恶意软件分析或删除的原生工具。但是，如果您使用的是适用于 Amazon EBS 的 GuardDuty 恶意软件模块，则提供的调查发现可能会包含相关建议。

在根除确定的受影响资源后，AWS 会建议您对账户进行安全审查。这可以借助 AWS Config 规则、Prowler 和 ScoutSuite 等开源解决方案，或通过其他供应商来完成。还应考虑对面向公众（互联网）的资源执行漏洞扫描，以评估残余风险。

根除是事件响应流程中的一个步骤，可以手动完成，也可以自动执行，具体取决于事件和受影响的资源。总体策略应与组织的安全策略和业务需求保持一致，并确保在删除不当资源或配置后减轻负面影响。