SEC10-BP02 制定事件管理计划 - AWS Well-Architected 框架

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SEC10-BP02 制定事件管理计划

为事件响应制定的第一个文档是事件响应计划。事件响应计划旨在为您的事件响应计划和战略奠定基础。

建立此最佳实践的好处:要想成功实现可扩展的事件响应计划,制定全面且明确定义的事件响应流程是关键。在发生安全事件时,明确的步骤和工作流有助于您及时做出响应。您可能已经有事故响应流程。无论您当前的状态如何,定期更新、迭代和测试事件响应流程都很重要。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

对于响应、缓解安全事件的潜在影响并从中恢复来说,事件管理计划是至关重要的。事件管理计划是一个结构化的过程,用于及时地确定、补救和响应安全事件。

云的许多操作角色和要求都与本地环境中的相同。在创建事件管理计划时,应考虑最符合业务成果和合规性要求的响应和恢复策略,这一点非常重要。例如,如果您在美国操作RAMP符合美联储标准的工作负载,则遵守 NISTSP 800-61 计算机安全处理指南会很有用。 AWS 同样,在处理欧洲个人身份信息 (PII) 数据的工作负载时,请考虑如何根据欧盟《通用数据保护条例 (GDPR) 条例》的规定保护和应对与数据驻留相关的问题之类的情景。

在为您的工作负载制定事件管理计划时 AWS,请从责任AWS 共担模型入手,制定事件响应 defense-in-depth方法。在此模型中, AWS 管理云的安全,而您则负责云中的安全。这意味着您将保留控制权,并对选择实施的安全控制机制负责。《AWS Security Incident Response Guide》详细介绍了构建以云为中心的事件管理计划的关键概念和基本指南。

必须不断地迭代有效的事件管理计划,使其与您的云运营目标保持一致。在创建和改进事件管理计划时,请考虑使用下面详述的实施计划。

实施步骤

定义角色和职责

处理安全事件需要在整个组织中落实纪律要求和行动意愿。在您的组织结构中,发生事件时,负责、追责、咨询或者告知信息等各个环节会涉及到不同的人员,例如人力资源(HR)、高管团队和法律部门的代表。请考虑这些角色和职责,以及是否必须有第三方参与。请注意,许多地区的当地法律都规定了,哪些事情能做,哪些事情不能做。尽管为你的安全响应计划制定一份负责、负责、经过咨询和知情的 (RACI) 图表可能显得官僚主义,但这样做可以促进快速直接的沟通,并清楚地概述活动不同阶段的领导层。

在事件发生期间,包括受影响应用程序和资源的所有者和开发者是关键,因为他们是主题专家 (SMEs),可以提供信息和背景信息来帮助衡量影响。您应该先练习并与开发人员和应用程序负责人建立关系,然后才能依靠他们的专业知识进行事件响应。应用程序所有者或SMEs您的云管理员或工程师等可能需要在环境不熟悉或复杂或响应者无法访问的情况下采取行动。

最后,值得信赖的合作伙伴可以参与到调查或响应中,因为他们可以提供额外的专业知识和宝贵的审查工作。当您自己的团队缺乏具备这些技能的人员时,您可能需要聘请外部人员寻求帮助。

了解 AWS 响应团队和支持

  • AWS Support

    • AWS Support提供了一系列计划,提供工具和专业知识,为 AWS 解决方案的成功和运营健康提供支持。如果您需要技术支持和更多资源来帮助规划、部署和优化您的 AWS 环境,则可以选择最符合您的 AWS 使用案例的支持计划。

    • 请考虑将 Support Center AWS Management Console (需要登录)作为中心联系点,为影响您的 AWS 资源的问题获取支持。访问权限 AWS Support 由控制 AWS Identity and Access Management。有关获取 AWS Support 功能访问权限的更多信息,请参阅入门 AWS Support

  • AWS 客户事件响应小组 (CIRT)

    • AWS 客户事件响应小组 (CIRT) 是一个专业的全天候全球 AWS 团队,在发生安全事件期间,在责任AWS 共担模型的客户方面为客户提供支持。

    • 当他们为你提供 AWS CIRT支持时,他们会为活跃的安全事件提供分类和恢复方面的 AWS帮助。他们可以通过使用 AWS 服务日志来协助进行根本原因分析,并为您提供恢复建议。他们还可以提供安全建议和最佳实践,从而让您以后能够避免出现安全事件。

    • AWS 客户可以参与 AWS CIRT直截了当的AWS Support 案例

  • DDoS响应支持

    • AWS offers AWS Shield,它提供托管的分布式拒绝服务 (DDoS) 保护服务,可保护在其上运行的 Web 应用程序 AWS。Shield 提供全天候检测和自动内联缓解措施,可最大限度地减少应用程序停机时间和延迟,因此无需参与 AWS Support 即可从保护中受益。DDoSShield 分为两个等级: AWS Shield Standard 和 AWS Shield Advanced。要了解这两个级别之间的区别,请参阅《Shield 功能文档》。

  • AWS Managed Services (AMS)

    • AWS Managed Services (AMS) 提供对 AWS 基础架构的持续管理,因此您可以专注于应用程序。通过实施维护基础架构的最佳实践,AMS有助于降低运营开销和风险。AMS自动执行变更请求、监控、补丁管理、安全和备份服务等常见活动,并提供完整的生命周期服务来配置、运行和支持您的基础架构。

    • AMS负责部署一套安全侦探控制措施,并对警报提供全天候第一线响应。启动警报后,请AMS遵循一组标准的自动和手动操作手册来验证响应是否一致。这些行动手册在入职期间与AMS客户共享,以便他们可以制定和协调应对措施。AMS

制定事件响应计划

事件响应计划旨在为您的事件响应计划和战略奠定基础。事件响应计划应包含在正式文档中。事件响应计划通常包括以下部分:

  • 事件响应团队概述:概述事件响应团队的目标和职能。

  • 角色和职责:列出事件响应利益相关者,并详细说明他们在发生事件时的角色。

  • 沟通计划:详细介绍联系信息,以及在事件发生期间如何进行沟通。

  • Backup 通信方法:最佳做法是将 out-of-band通信作为事件通信的备份。提供安全 out-of-band通信通道的应用程序的一个示例是 AWS Wickr。

  • 事件响应阶段和应采取的行动:列举事件响应的各个阶段(例如,检测、分析、消除、遏制和恢复),包括在这些阶段中要采取的高级别操作。

  • 事件严重性和优先级定义:详细说明如何对事件的严重性进行分类,如何确定事件的优先级,然后详细说明严重性定义对上报程序有何影响。

尽管这些内容部分在各种规模和行业的公司中很常见,但每个组织的事件响应计划都是独一无二的。您需要制定最适合贵组织的事件响应计划。

资源

相关最佳实践:

相关文档: