本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
復原
復原是將系統還原至已知安全狀態、在還原之前驗證備份是否安全或不受事件影響、測試系統在還原後是否正常運作,以及解決與安全事件相關的漏洞的程序。
復原的順序取決於您組織的需求。在復原過程中,您應該執行業務影響分析,以判斷至少:
-
業務或相依性優先順序
-
還原計畫
-
身分驗證和授權
NIST SP 800-61 電腦安全事件處理指南提供數個復原系統的步驟,包括:
-
從乾淨的備份還原系統。
-
在還原至系統之前,請確認已評估備份,以確保沒有感染,並防止安全事件再次發生。
備份應定期評估,作為災難復原測試的一部分,以確認備份機制正常運作,且資料完整性符合復原點目標。
-
如果可能,請在識別為根本原因分析一部分的第一個事件時間戳記之前,使用 的備份。
-
-
從頭開始重建系統,包括使用自動化從信任來源重新部署,有時在新 AWS 帳戶中。
-
將遭入侵的檔案取代為乾淨版本。
您應該在執行此操作時特別小心。您必須絕對確定您要復原的檔案是已知安全且不受事件影響的檔案
-
安裝修補程式。
-
變更密碼。
-
這包括可能已遭到濫用的 IAM 主體密碼。
-
如果可能,我們建議在最低權限策略中使用 IAM 委託人和聯合身分的角色。
-
-
限制網路周邊安全性 (防火牆規則集、邊界路由器存取控制清單)。
復原資源後,請務必擷取經驗教訓,以更新事件回應政策、程序和指南。
總而言之,必須實作復原程序,以促進返回已知的安全操作。復原可能需要很長的時間,並且需要與遏制策略的緊密連結,才能平衡對重新感染風險的業務影響。復原程序應包含還原資源和服務、IAM 主體,以及執行帳戶安全性審查以評估剩餘風險的步驟。
