天有不測風雲,任何單位就算已經完全做到了前面四大面向,你應該還是要在內部建立一套事件回應的機制,透過這套機制確保資安事件發生時能夠有效減少傷害,並透過在平日的演練,來熟悉這套流程。
NIST在2012年有釋出一版事件回應的設計原則SP 800–61 Rev. 2 Computer Security Incident Handling Guide,裡面主要包含以下項目:事件發生後要通報那些人員、將流程文件化、自動化、平時要有將log等相關系統資訊向外拋的設定以及改善流程。
在執行事件回應時,你應該要做到以下四件事
1.平時教育訓練
在整體資安防護上面,其實最重要的部分就是人員的教育。大部分會發生資安事件幾乎都是出自於人員的不當配置造成系統漏洞或是資料外洩。透過學習以及實際演練佈建,更讓相關人員能夠更加熟悉。
資安準備
為了預防資安事件發生時,能處理問題的人員權限不夠,所以平時就應該要依據最小權限法來將權限開給相關人員。平時就應該要訂定公司內部問題解決流程,包含事情如何解決的步驟、誰要處理、問題應回報給誰等。
為了避免內部討論的盲點,建議可以找尋顧問或是AWS相關合作夥伴來進行諮詢,透過定期的會議來檢討並找出問題,進一步地修改資安處理流程。討論完成後,就討論所試想的情境先寫好自動化的解決方案,如果遇到類似問題可以快速解決。
進行資安演練
現在市面上有非常多的資安演練模式,例如:滲透測試、紅隊測試等,其實都是為了要模擬當資安事件發生時,組織有沒有辦法在一定的時間內來解決問題,並且確認平時各面向的資安準備是否充足,找出相關的漏洞或弱點進行修補。
反覆執行
將所有流程文件化製作操作手冊,或是透過撰寫成程式,例如Lambda,來自動化執行回應,以避免人員的操作錯誤。當事件發生時也可以透過Eventbridge觸發SNS傳送告警通知給管理人員進行處理。
事件回應的簡介先到這邊,下篇進入相關服務介紹