定義角色和責任
在處理新的或大規模事件時,事件回應的技能和機制是最重要的。這些事件取決於您團隊制定的書面標準,以及您團隊的實踐。由於我們無法預測或編纂事件將採取的所有潛在方向,所以我們依靠自動化來執行簡單的重複性任務,例如收集執行個體記憶體或診斷日誌,然後讓人類做出艱難的決策。對於處理不明確的安全事件,需要跨組織紀律、採取果斷行動以及實現目標的能力。在您的組織結構中,在發生事件時應該有許多人是負責者、當責者、事先諮詢者或事後被告知者,例如來自人力資源 (HR)、管理團隊和法律部門的代表。請考量這些角色和責任,以及是否涉及其他第三方。請注意,在許多地區,有當地法律規定可以做和不能做的事情。為事件建置負責者、當責者、事先諮詢者或事後被告知者 (RACI) 圖表看似官僚,但這樣做可以達成快速、直接的溝通,並清楚概述不同事件階段的領導地位。
受信賴的合作夥伴可能參與調查或回應,他們可提供額外的專業知識和寶貴的審查意見。當您自己的團隊沒有這些技能時,您可能需要聘請外部人員提供協助。如果您僱用外部單位,請務必讓此單位訓練您的團隊成員。當這些外部單位與您的內部開發人員和操作人員合作時,他們可以擴充團隊成員的技能,而且這些新的專業知識對於未來的 IR 計劃非常有價值。
發生事件時,納入受影響應用程式和資源的擁有者和開發人員很重要,因為他們是可以提供資訊和脈絡的領域專家 (SME)。在依賴開發人員和應用程式擁有者的專業知識回應事件之前,請務必先和他們進行練習並建立關係。應用程式擁有者或 SME 可能需要在不熟悉環境、複雜程度出乎意料,或回應人員無權存取的情況下採取行動。應用程式 SME 應該與 IR 團隊一起練習並適應團隊合作。
提供培訓
若想減少依賴關係並縮短回應時間,請務必讓安全團隊和回應人員接受雲端服務的相關教育訓練,並有機會在組織使用的特定雲端平台上實際操作。其中一些培訓出自流程開始時的團隊建設和執行手冊建置。在建構執行手冊的初始步驟中盡量納入越多人員,可以更加了解內部團隊。當團隊在桌上模擬演練中開始遵循執行手冊,訓練就會變得更加真實。
AWS 和其他第三方也提供線上安全講座 (AWS 安全講座
AWS 透過數位培訓、課堂培訓、APN 合作夥伴和認證,提供多種培訓選項和學習途徑。如需進一步了解,請參閱 AWS 培訓與認證
