雲端回應的設計目標
雖然事故回應的一般程序和機制,例如 NIST SP 800-61 Computer Security Incident Handling Guide
-
建立回應目標: 與利害關係人、法律顧問和組織領導階層合作,訂定回應事故的目標。共同目標包括遏制和緩解問題、復原受影響的資源、保留資料供鑑識使用、恢復已知的安全操作,以及最終從事故中學習經驗。
-
使用雲端回應: 在雲端內事件發生和資料之處實作回應模式。
-
了解您擁有什麼及需要什麼: 複製日誌、資源、快照和其他證據,並儲存在專門用於回應的集中式雲端帳戶中以便保留。運用標籤、中繼資料和機制,強制執行保留政策。您需要了解自己使用哪些服務,然後確定調查這些服務的需求。您也可以使用標籤來協助您了解自己的環境。
-
使用重新部署機制: 如果安全異常可能歸因於組態錯誤,修復的方法可能就是利用適當的組態重新部署資源以移除變異,如此簡單。若發現可能是遭到入侵,則務必確認您的重新部署包含可成功緩解根本原因的措施。
-
盡可能自動化: 當問題出現或事故重複發生時,請建立機制,以程式設計方式分類並回應常見的事件。對於自動化不足以因應的獨特、複雜或敏感事故,則採取真人回應。
-
選擇可擴展的解決方案: 努力符合組織所採行雲端運算方法的可擴展性。實作能夠因應您的環境調整的偵測和回應機制,以便有效縮短偵測與回應之間的時間。
-
了解並改善程序: 主動找出流程、工具或人員當中的落差,並實施計畫來彌補落差。模擬是找出落差並改善流程的安全方法。
這些設計目標可提醒您檢閱架構實作,以確認能夠進行事故回應和威脅偵測。當您規劃雲端實作時,請考慮回應事故,最好是採用鑑識上可靠的回應方法。在某些情況下,這表示您可能會針對這些回應任務設定多個組織、帳戶和工具。這些工具和功能應透過部署管道提供給事故回應人員使用。它們不應處於靜態,否則可能造成更大的風險。
