恢复 - AWS 安全事件响应 用户指南

恢复

恢复是指将系统恢复到已知安全状态的流程,在此期间,需要在恢复之前确认备份是否安全或未受事件影响,然后进行测试以确认系统在恢复后正常运行,以及解决与安全事件相关的漏洞。

恢复顺序取决于组织的要求。作为恢复流程的一部分,需要进行业务影响分析,至少确定:

  • 业务或依赖项的优先级

  • 恢复计划

  • 身份验证和授权

《NIST SP 800-61 计算机安全事件处理指南》提供了几个系统恢复步骤,包括:

  • 从纯净备份恢复系统。

    • 在将备份恢复到系统之前,需确认是否对备份进行评估,排除感染情况,防止安全事件卷土重来。

      作为灾难恢复测试的一部分,应定期评估备份,以确认备份机制是否正常运行以及数据完整性是否符合恢复点目标。

    • 如果可能,请使用在根本原因分析中确定的第一个事件时间戳之前的备份。

  • 从头开始重建系统,包括使用自动化工具从可信来源重新部署(有时需要在新 AWS 账户中进行)。

  • 将受损文件替换为纯净版本。

    执行此操作时应格外小心。必须完全确定要恢复的文件处于已知安全状态,且未受事件影响

  • 安装补丁。

  • 更改密码。

    • 这包括可能已被滥用的 IAM 主体的密码。

    • 如果可能,建议采用适用于 IAM 主体和联合身份验证的角色,作为最低权限策略的一部分。

  • 加强网络周边安全(防火墙规则集、周边路由器访问控制列表)。

资源恢复后,必须总结经验教训,以更新事件响应策略、程序和指南。

总之,必须实施恢复已知安全运营的恢复流程。恢复可能需要很长时间,并且需要密切结合遏制策略,以平衡业务影响和再次感染的风险。恢复程序应当包括恢复资源和服务、IAM 主体的步骤,以及对账户进行安全审查以评估残余风险的步骤。