SEC10-BP07 執行演練日

演練日也稱為模擬或練習，是內部舉辦的活動，提供有條理的機會，供您在寫實情境下演練事件管理計劃和程序。這些事件應該使用在真實世界情境中使用的相同工具和技術來鍛煉回應者 - 甚至模仿真實世界環境。演練日基本上就是用來準備和反覆改善您的回應能力。對於進行演練日的活動，您可能會發現有價值的原因包括：

驗證整備
培養信心 – 從模擬和培訓員工得到學習
遵守合規或合約義務
產生用於認證的成品
靈活 – 增量改進
加速並改善工具
精簡溝通和上報
培養安然面對罕見和意外情形的能力

基於上述原因，參與模擬活動所衍生的價值，會在壓力事件期間提高組織發揮的效用。開發既實際又有益的模擬活動可能是艱鉅的作業。雖然測試處理熟知事件的程序或自動化具有某些優勢，但參與創造性的安全事故回應模擬 (SIRS) 活動，以考驗自己面對意外和持續改善的能力，同樣也有價值。

建立針對您的環境、團隊和工具量身打造的自訂模擬。找出問題並根據它設計您的模擬。這可能是洩露的憑證、與不需要的系統通訊的伺服器，或導致未經授權暴露的錯誤組態等項目。識別熟悉貴組織的工程師來建立情境，以及另一個要參與的群組。情境應該是真實的，且具有足夠的挑戰性來彰現價值。它應該包括實作記錄、通知、呈報和執行執行手冊或自動化的機會。在模擬期間，您的回應者應該鍛煉其技術和組織技能，而且領導者應該參與以建立其事故管理技能。模擬結束時，讚揚團隊的努力，並尋找反覆、重複和擴充到進一步模擬的方法。

AWS 已建立事故回應執行手冊範本，您可以不僅將其用來準備您的回應工作，還可以將其做為模擬的基礎。規劃時，模擬可以分成五個階段。

收集證據： 在這個階段，團隊將透過各種方式獲得提醒，例如內部票證系統、來自監控工具的提醒、匿名提示，甚至是公共新聞。然後，團隊開始審查基礎設施和應用程式日誌，以判定入侵的來源。此步驟還應涉及內部呈報和事故領導地位。一旦識別，團隊就會繼續遏制事故

遏制事故： 團隊將判定發生了事故並確定入侵的來源。團隊現在應該採取行動來遏制它，例如，停用遭入侵的憑證、隔離運算資源或撤銷角色的許可。

杜絕事故： 既然他們已遏制事故，團隊就會努力緩解應用程式或基礎設施組態中易受入侵的任何漏洞。這可能包括輪換用於工作負載的所有憑證、修改存取控制清單 (ACL) 或變更網路組態。

若未建立此最佳實務，暴露的風險等級為： 中