根除

與安全事件回應相關的根除是移除可疑或未經授權的資源，以努力將帳戶返回已知的安全狀態。根除策略取決於多個因素，這些因素取決於組織的業務需求。

NIST SP 800-61 電腦安全事件處理指南提供幾個清除步驟：

1. 識別並緩解所有遭到利用的漏洞。

2. 移除惡意軟體、不適當的材料和其他元件。

3. 如果發現更多受影響的主機 （例如，新的惡意軟體感染），請重複偵測和分析步驟來識別所有其他受影響的主機，然後包含並消除它們的事件。

對於 AWS 資源，這可以透過透過 CloudWatch Logs 和 Amazon GuardDuty 等可用日誌或自動化工具偵測到和分析的事件進一步改進。這些事件應該是判斷應執行哪些修補以將環境正確還原至已知安全狀態的基礎。

根除的第一步是判斷哪些資源在 AWS 帳戶中受到影響。這可透過分析可用的日誌資料來源、資源和自動化工具來完成。

• 識別您帳戶中 IAM 身分所採取的未經授權動作。

• 識別您帳戶的未經授權存取或變更。

• 識別建立未經授權的資源或 IAM 使用者。

• 識別具有未經授權變更的系統或資源。

識別資源清單後，您應該評估每個資源，以確定是否刪除或還原資源對業務的影響。例如，如果 Web 伺服器託管您的商業應用程式，並刪除它會導致停機時間，則您應該考慮從已驗證的安全備份復原資源，或從乾淨的 AMI 重新啟動系統，然後再刪除受影響的伺服器。

完成業務影響分析後，請使用日誌分析中的事件進入帳戶並執行適當的補救措施，例如：

• 輪換或刪除金鑰 - 此步驟會移除演員繼續在帳戶中執行活動的能力。

• 輪換可能未經授權的 IAM 使用者登入資料。

• 刪除無法辨識或未經授權的資源。

  重要

  如果您必須保留資源以進行調查，請考慮備份這些資源。例如，如果您因法規、合規或法律原因必須保留 Amazon EC2 執行個體，請在移除執行個體之前建立 Amazon EBS 快照。

• 對於惡意軟體感染，您可能需要聯絡 AWS Partner 或其他廠商。 AWS 不提供惡意軟體分析或移除的原生工具。不過，如果您使用 Amazon EBS 的 GuardDuty 惡意軟體模組，則建議可能可用於提供的調查結果。

清除已識別受影響的資源後， AWS 建議您對帳戶執行安全審查。這可以使用 AWS Config 規則、使用 Prowler 和 ScoutSuite 等開放原始碼解決方案，或透過其他廠商來完成。您也應考慮對面向公有 （網際網路） 的資源執行漏洞掃描，以評估剩餘風險。

根除是事件回應程序的一個步驟，可以根據事件和受影響的資源手動或自動化。整體策略應符合組織的安全政策和業務需求，並確認移除不適當的資源或組態時可減輕負面影響。