定义角色和职责
在处理新事件或大规模事件时,事件响应的技能和机制最为重要。这些事件取决于您的团队制定的书面标准和您的团队已经进行过的实践。由于我们无法预测或整理事件的所有潜在方向,因此我们依靠自动化来完成简单、重复的任务,例如收集实例内存或诊断日志,然后让人类做出艰难的决定。处理不明确的安全事件需要跨组织的纪律性、偏向于采取果断行动以及交付结果的能力。在事件发生期间,组织结构中应该有许多人可负责、可审计、可咨询或随时了解最新进展,例如来自人力资源(HR)、管理团队和法务部门的代表。考虑这些角色和职责,以及是否必须有第三方参与。请注意,在许多地区,都有当地法律规定可以做什么和不能做什么。尽管为事件建立可负责、可审计、可咨询和知情(RACI)图表似乎有些官僚主义,但这样做可以实现快速而直接的沟通,清晰地勾勒出事件不同阶段的领导层。
值得信赖的合作伙伴可能会参与调查或响应,他们会提供额外的专业知识和有价值的审查。当您自己的团队不具备这些技能时,可能需要聘请外部人员以寻求协助。如果雇用了外部人员,请确保该方对您的团队成员进行培训。当这些外部各方与您的内部开发人员和运营者合作时,他们可以扩展团队成员的技能,而新的专业知识对未来的 IR 计划很有价值。
在事件发生期间,关键的是将受影响应用程序和资源的所有者和开发人员考虑在内,因为他们是可以提供信息和上下文的主题专家(SME)。在依靠开发人员和应用程序所有者的专业知识进行事件响应之前,请务必与开发人员和应用程序所有者进行练习并与他们建立关系。应用程序所有者或 SME 可能需要在环境不熟悉、具有意想不到的复杂性或响应者无法访问的情况下采取行动。应用程序 SME 应该练习并适应与 IR 团队的合作。
提供培训
为了降低依赖性并缩短响应时间,请确保您的安全团队和响应者接受有关云服务的培训,并有机会亲身体验组织使用的特定云平台。其中一些培训来自于流程开始时进行的团队建设和运行手册创建。通过在形成运行手册的初始步骤中让尽可能多的人员参与进来,您可以更好地了解内部团队。随着这些团队开始在桌面练习中遵循这些运行手册,这种培训变得更加真实。
AWS 和其他第三方还提供在线安全研讨会(AWS 安全研讨会
AWS 通过数字培训、课堂培训、APN 合作伙伴和认证提供了许多培训选项和学习路径。要了解更多信息,请参阅 AWS 培训和认证
