SEC10-BP08 建立从事件中吸取经验教训的框架 - AWS Well-Architected Framework
实施指导 资源

SEC10-BP08 建立从事件中吸取经验教训的框架

实现 经验教训总结 框架和根本原因分析能力不仅有助于提高事件响应能力,还有助于防止事件再次发生。通过从每次事件中吸取教训,您可以避免重复同样的错误、泄露或错误配置,这不仅可以改善您的安全态势,还可以最大限度地减少因可预防的情况而损失的时间。

未建立这种最佳实践的情况下暴露的风险等级:

实施指导

重要的是要实现一个 经验教训总结 框架,大体上确立并实现以下几点:

  • 何时总结经验教训?

  • 总结经验教训的过程涉及什么?

  • 如何总结经验教训?

  • 谁参与了这个过程,具体情况如何?

  • 如何确定需要改进的领域?

  • 如何确保有效跟踪和实施改进措施?

该框架不应关注或指责个人,而应侧重于改进工具和流程。

实施步骤

除了前面列出的大体上的成果外,重要的是要确保提出正确的问题,以便从流程中获得最大价值(可以带来切实可行的改进的信息)。请考虑以下问题,以便于您启动经验教训讨论:

  • 发生了什么事件?

  • 何时首次发现该事件?

  • 是如何发现的?

  • 哪些系统针对该活动发出了警报?

  • 涉及哪些系统、服务和数据?

  • 具体发生了什么?

  • 哪些地方做得好?

  • 哪些地方做得不好?

  • 哪些流程或程序出现问题或未能扩展以应对事件?

  • 以下方面有哪些地方有待改进:

    • 人员

      • 需要联系的人是否真的可以联系上,联系名单是否是最新名单?

      • 相应人员是否缺少有效应对和调查事件所需的培训或能力?

      • 相应的资源是否已就绪并随时可用?

    • 流程

      • 是否遵循了流程和程序?

      • 是否针对这种事件记录并提供了流程和程序?

      • 是否缺少必要的流程和程序?

      • 响应人员是否能够及时获得所需的信息来处理问题?

    • 技术

      • 现有警报系统是否能有效识别活动并发出警报?

      • 我们如何将检测时间缩短 50%?

      • 现有警报是否需要改进,或者是否需要针对这种事件设置新的警报?

      • 现有工具是否允许对事件进行有效调查(搜索/分析)?

      • 怎样才能更快地识别这种事件?

      • 如何防止这种事件再次发生?

      • 谁是改进计划的负责人,如何检验改进计划的执行情况?

      • 实施和测试额外监控或预防性控制和流程的时间表是怎样的?

此列表并非详尽无遗,但旨在作为一个起点,确定组织和业务需求是什么,以及如何分析这些需求,以便最有效地从事件中吸取经验教训,并不断改进您的安全态势。最重要的是,该列表开始将经验教训作为事件响应流程、文档和利益相关者期望的标准组成部分。

资源

相关文档: