云响应的设计目标
尽管事件响应的一般流程和机制(例如《NIST SP 800-61 计算机安全事件处理指南
-
建立响应目标:与利益相关方、法律顾问和组织领导合作,以确定事件响应目标。一些共同的目标包括控制和缓解问题、恢复受影响的资源、保留数据为便取证、恢复到已知安全的操作,以及最终从事件中吸取教训。
-
利用云进行响应:在云端(即事件和数据的发生地)实施响应模式。
-
了解所拥有和需要的证据:通过复制日志、资源、快照和其他证据并将其存储在一个集中的响应专用云账户中来保存这些内容。使用标签、元数据和保留策略实施机制。您需要了解自己使用了哪些服务,然后确定调查这些服务的要求。为了便于您了解自己的环境,您还可以使用标记。
-
使用重新部署机制:如果安全异常可归因于一个配置错误,那么可能只需使用适当的配置重新部署资源来删除差异,即可完成修复。如果发现可能存在漏洞,请核实您重新部署时是否包括成功且经过验证的根本原因缓解措施。
-
尽可能自动化:当问题出现或事件重复发生时,建立机制,以程序化方式对常见事件进行分类和响应。对于自动化程度不足的独特、复杂或敏感事件,使用人工响应。
-
选择可扩展的解决方案:尽量让组织采用方法的可扩展性与云计算能力相匹配。实施可在您环境中扩展的检测和响应机制,有效地缩短检测与响应之间的时间差。
-
了解并改进流程:主动找出流程、工具或人员的不足,并实施计划来弥补这些不足。模拟是找出不足并改进流程的妥善方法。
这些设计目标会提醒您审查架构实施情况,确定是否同时具备事件响应能力和威胁检测能力。在规划云端实施时,应考虑如何应对事件,最好使用具备司法有效性的响应方法。在某些情况下,这意味着您可能需要专门为这些响应任务设置多个组织、账户和工具。这些工具和功能应通过部署管道提供给事件响应者。它们不应该是静态的,因为这会导致更大的风险。
