SEC10-BP04 開發和測試安全性事故應變程序手冊
準備事故應變流程的關鍵部分是制定程序手冊。事故應變程序手冊提供一系列規範性指引和安全性事件發生時應遵循的步驟。提供清晰的結構和步驟簡化了回應的複雜度並減少人為錯誤的可能性。
未建立此最佳實務時的曝險等級: 中
實作指引
應針對事故案例建立程序手冊,例如:
-
預期事故:應針對您預期的事故建立程序手冊。這包括拒絕服務 (DoS)、勒索軟體和憑證入侵等威脅。
-
已知的安全調查結果或提醒:應針對已知的安全性調查結果和警示 (例如 GuardDuty 調查結果) 建立程序手冊。您可能會收到 GuardDuty 調查結果並思考:「現在該怎麼辦?」 為了防止處理不當或忽略 GuardDuty 調查結果,請為每個潛在的 GuardDuty 調查結果建立程序手冊。部分修復詳細資料和指引可尋自 GuardDuty 文件。值得注意的是,在預設情況下 GuardDuty 是未啟用的狀態,並且會產生費用。如需 GuardDuty 的相關詳細資訊,請參閱 附錄 A:雲端功能定義 - 可見性與提醒。
程序手冊應包含安全分析師應完成的技術步驟,以便充分調查和應對潛在的安全事故。
實作步驟
要納入程序手冊的項目包括:
-
程序手冊概觀:這份程序手冊可處理哪些風險或事故? 程序手冊的目標是什麼?
-
先決條件:此事故案例需要哪些日誌、偵測機制和自動化工具? 預期的通知是什麼?
-
溝通和向上呈報資訊:誰參與其中,其聯絡資訊為何? 每個利害關係人的責任是什麼?
-
回應步驟:在事故應變的各個階段,應採取哪些戰術步驟? 分析師應該執行哪些查詢? 應該執行哪些程式碼以達到預期的成果?
-
偵測:事故的偵測方式為何?
-
分析:判斷影響範圍的方式為何?
-
包含:隔離事故以限制範圍的方式為何?
-
根除:將威脅從環境中移除的方式為何?
-
復原:受影響的系統或資源重新投入生產環境的方式為何?
-
-
預期成果:執行查詢和程式碼後,程序手冊的預期結果是什麼?
資源
相關 Well-Architected 的最佳實務:
相關文件: