SEC10-BP02 制定事件管理计划 - AWS Well-Architected Framework

SEC10-BP02 制定事件管理计划

为事件响应制定的第一个文档是事件响应计划。事件响应计划旨在为您的事件响应计划和战略奠定基础。

建立此最佳实践的好处: 要想成功实现可扩展的事件响应计划,制定全面且明确定义的事件响应流程是关键。在发生安全事件时,明确的步骤和工作流有助于您及时做出响应。您可能已经有事故响应流程。无论您当前的状态如何,定期更新、迭代和测试事件响应流程都很重要。

未建立这种最佳实践的情况下暴露的风险等级:

实施指导

对于响应、缓解安全事件的潜在影响并从中恢复来说,事件管理计划是至关重要的。事件管理计划是一个结构化的过程,用于及时地确定、补救和响应安全事件。

云的许多操作角色和要求都与本地环境中的相同。在创建事件管理计划时,应考虑最符合业务成果和合规性要求的响应和恢复策略,这一点非常重要。例如,如果您在 AWS 中运行在美国符合 FedRAMP 标准的工作负载,则遵守 《NIST SP 800-61 计算机安全处理指南》会很有帮助。同样,在使用欧洲个人身份信息(PII)数据运行工作负载时,请考虑具体的场景,例如如何根据以下条例的强制要求,保护和应对与数据驻留相关的问题: 欧盟通用数据保护条例(GDPR)

在为 AWS 中的工作负载制定事件管理计划时,请首先使用 AWS 责任共担模式 ,以便构建针对事件响应的深度防御方法。在此模式中,AWS 负责管理云本身的安全,云内部的安全则由您负责。这意味着您将保留控制权,并对选择实施的安全控制机制负责。此 AWS 安全事件响应指南 详细介绍了构建以云为中心的事件管理计划的关键概念和基本指南。

必须不断地迭代有效的事件管理计划,使其与您的云运营目标保持一致。在创建和改进事件管理计划时,请考虑使用下面详述的实施计划。

实施步骤

定义角色和职责

处理安全事件需要在整个组织中落实纪律要求和行动意愿。在您的组织结构中,发生事件时,负责、追责、咨询或者告知信息等各个环节会涉及到不同的人员,例如人力资源(HR)、高管团队和法律部门的代表。请考虑这些角色和职责,以及是否必须有第三方参与。请注意,许多地区的当地法律都规定了,哪些事情能做,哪些事情不能做。尽管为安全响应计划建立一个负责、问责、咨询和知情(RACI)的图表可能显得过于繁文缛节,但这样做有利于快速直接地进行沟通,并清楚地概述在事件不同阶段负责的领导层。

在事件发生期间,让受影响应用程序和资源的负责人和开发人员参与进来非常关键,因为这些人员是主题专家(SME),可以提供信息和背景情况来协助衡量影响。您应该先练习并与开发人员和应用程序负责人建立关系,然后才能依靠他们的专业知识进行事件响应。应用程序负责人或 SME,如云管理员或工程师,可能需要在不熟悉环境、面临复杂情况或响应人员没有访问权限的情况下采取行动。

最后,值得信赖的合作伙伴可以参与到调查或响应中,因为他们可以提供额外的专业知识和宝贵的审查工作。当您自己的团队缺乏具备这些技能的人员时,您可能需要聘请外部人员寻求帮助。

了解 AWS 响应团队和支持

  • AWS Support

    • AWS Support 提供了一系列计划,可供您利用各种工具和专业知识,为您的 AWS 解决方案的成功和正常运行提供支持。如果您需要技术支持及更多资源来规划、部署和优化 AWS 环境,则可以选择最符合您 AWS 使用场景的支持计划。

    • 考虑将 支持中心 (在 AWS Management Console中,需要登录)作为中心联系点,为影响您 AWS 资源的问题获取支持。对 AWS Support 的访问由 AWS Identity and Access Management 控制。有关获取对 AWS Support 功能的访问的更多信息,请参阅 开始使用 AWS Support

  • AWS 客户事件响应团队(CIRT)

    • AWS 客户事件响应团队(CIRT)是一支专业的 AWS 全球团队,全天候向客户提供支持,协助客户解决根据 AWS 责任共担模式应由客户一方负责的安全事件。

    • 当 AWS CIRT 为您提供支持时,他们会为 AWS 上出现的安全事件提供分类和恢复方面的协助。他们可以使用 AWS 服务日志来协助分析根本原因,并为您提供恢复建议。他们还可以提供安全建议和最佳实践,从而让您以后能够避免出现安全事件。

    • AWS 客户要与 AWS CIRT 交流,可以开立 AWS Support 案例

  • DDoS 响应支持

    • AWS 提供 AWS Shield,它提供了托管的分布式拒绝服务(DDoS)攻击保护服务,可保护在 AWS 上运行的 Web 应用程序。Shield 提供不间断检测和自动化内嵌缓解措施,可以最大限度地减少应用程序停机时间和延迟,因此无需与 AWS Support 交流即可从 DDoS 保护中受益。Shield 分为两个级别:AWS Shield Standard 和 AWS Shield Advanced。要了解这两个级别之间的区别,请参阅 Shield 功能文档

  • AWS Managed Services(AMS)

    • AWS Managed Services(AMS) 可持续管理您的 AWS 基础设施,让您可以专注于应用程序。AMS 实施最佳实践来维护您的基础设施,让您您能够降低运营开销和风险。AMS 可以自动执行常见活动(例如更改请求、监控、补丁管理、安全性和备份服务),并可以提供全生命周期服务来预置、运行和支持您的基础设施。

    • AMS 负责部署一套安全检测控制措施,并全天候提供对警报的第一线响应。启动警报后,AMS 遵循一组标准的自动和手动行动手册,验证是否有一致的响应。这些行动手册在功能部署期间与 AMS 客户共享,这样客户就能够开发并与 AMS 协调响应措施。

制定事件响应计划

事件响应计划旨在为您的事件响应计划和战略奠定基础。事件响应计划应包含在正式文档中。事件响应计划通常包括以下部分:

  • 事件响应团队概述: 概述事件响应团队的目标和职能。

  • 角色和职责: 列出事件响应利益相关者,并详细说明他们在发生事件时的角色。

  • 沟通计划: 详细的联系信息,以及在事件发生期间如何进行沟通。

  • 后备沟通方法: 此时的最佳实践是采用带外通信,作为事件沟通的后备。AWS Wickr 就是一个提供安全的带外通信渠道的应用程序示例。

  • 事件响应阶段和应采取的行动: 列举事件响应的各个阶段(例如,检测、分析、消除、遏制和恢复),包括在这些阶段中要采取的高级别操作。

  • 事件严重性和优先级定义: 详细说明如何对事件的严重性进行分类,如何确定事件的优先级,然后详细说明严重性定义对上报程序有何影响。

尽管这些内容部分在各种规模和行业的公司中很常见,但每个组织的事件响应计划都是独一无二的。您需要制定最适合贵组织的事件响应计划。

资源

相关最佳实践:

相关文档: