云中的事件响应
云响应的设计目标
尽管事件响应的一般流程和机制(例如 NIST SP 800-61 计算机安全事件处理指南
-
制定响应目标 – 与您的利益攸关方、法律顾问和组织领导合作,确定事件响应目标。一些常见目标包括抑制和缓解问题、恢复受影响的资源、保留数据以供取证和确定归属。
-
利用云进行响应 – 在发生事件和遇到数据时,实施您的响应模式。
-
了解您拥有和需要的证据 – 将日志、快照和其他证据复制到中央安全云账户中,以保留这些证据。使用标签、元数据和保留策略实施机制。例如,您可以出于调查目的,选择使用 Linux
dd命令或相应的 Windows 命令为数据制作一个完整的副本。 -
使用重新部署机制 – 如果安全异常可归因于配置错误,那么可能只需使用适当的配置重新部署资源以消除差异即可完成修复。如果可能,请确保您的响应机制能够安全地在未知状态下多次发挥作用。
-
尽可能自动化 – 当您发现问题或事件反复发生时,构建一些能够以编程方式确定并响应常见情况的机制。对于特殊事件、新事件和敏感事件,进行人为响应。
-
选择可扩展的解决方案 – 尽量让您的组织所用方法的可扩展性与云计算能力相匹配,并缩短检测与响应之间的时间差。
-
了解并改进您的流程 – 当您发现流程、工具或员工存在差距时,制定相应规划来弥补这些差距。模拟是找到差距和改进流程的安全方法。
NIST 设计目标提醒您检查架构,以确定它是否能够执行事件响应和威胁检测。在规划云实施时,请考虑响应事件或取证事件。在某些情况下,这意味着您可能为这些响应任务专门设置了多个组织、客户和工具。这些工具和功能应通过部署管道提供给事件响应者,并且不应是静态的,因为这样会导致更大的风险。
