SEC 10: 如何预测、响应事件以及从事件中恢复？

准备工作对于及时有效地调查、响应安全事件以及从安全事件中恢复至关重要，可以尽可能减少对组织的破坏。

资源

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

最佳实践:

• 确定关键人员和外部资源: 确定能够帮助您的组织响应事件的内部和外部人员、资源、以及法律义务。

• 制定事件管理计划: 制定计划，以帮助您响应事件、在事件期间进行沟通以及从事件中恢复。例如，您可以根据您的工作负载和组织中最可能遇到的情况开始制定事件响应计划。在计划中说明如何在内部和外部进行沟通和上报。

• 准备取证能力: 确定并准备适当的取证调查能力，包括外部专家、工具和自动化。

• 自动控制功能: 自动控制意外事件并从意外事件中恢复，以缩短响应时间和减少对组织的影响。

• 预置访问权限: 确保事件响应者将正确的访问权限预置到 AWS 中，以缩短调查到恢复的时间。

• 预先部署工具: 确保安全人员将适当的工具预先部署到 AWS 中，以缩短调查到恢复的时间。

• 执行实际演练: 定期执行事件响应实际演练（模拟）、将经验教训纳入事件管理计划，并持续改进。

改进计划

确定关键人员和外部资源

确定组织中的关键人员: 制定联系人列表，列出组织内需要参与事件响应和事件恢复的人员。

确定外部合作伙伴: 根据需要联系能够帮助您响应事件并从事件中恢复的外部合作伙伴。

制定事件管理计划

查看可用资源: 您可以使用 AWS 和行业资源。
AWS Security Incident Response Guide
NIST: Computer Security Incident Handling Guide

制定事件响应行动手册: 行动手册应该易于遵循，并详细说明需要通过哪些步骤来响应事件并从事件中恢复。

制定升级和沟通计划: 升级和沟通计划应该涵盖您在事件的每个阶段必须通知到的内部人员的外部各方。

制定外部公共关系计划: 制定公共关系计划，用于发布关于事件的信息。

准备取证能力

确定取证能力: 分析组织的取证调查能力、可用工具和外部专家。
Automating Incident Response and Forensics

自动控制功能

自动控制功能

预置访问权限

预置访问权限: 确保安全人员在 AWS 中预置了正确的访问权限，以便对事件做出适当响应。

预先部署工具

预先部署工具: 确保安全人员在 AWS 中预先部署了适当的工具，以便对事件做出适当响应。
Lab: Incident response with AWS Management Console and CLI
Incident Response Playbook with Jupyter - AWS IAM
AWS Security Automation

实施资源标记: 用信息标记资源（例如，正在调查的资源的代码），以便在事件期间确定资源。
AWS Tagging Strategies

执行实际演练

执行实际演练: 针对涉及关键员工和管理层的不同威胁，运行模拟事件响应活动（实际试用）。

记录经验教训: 应该将通过实际演练获得的经验教训用作反馈，以便改进流程。