운영
운영은 인시던트 대응 수행의 핵심입니다. 여기서 보안 인시던트 대응 및 해결 조치가 이루어집니다. 운영에는 탐지, 분석, 격리, 근절, 복구와 같은 다섯 가지 단계가 포함됩니다. 이러한 단계 및 목표에 대한 설명은 다음 표에 나와 있습니다.
| Phase(단계) | 목표 |
|---|---|
| 탐지 | 잠재적 보안 이벤트를 파악합니다. |
| 분석 | 보안 이벤트가 인시던트인지 판단하고 인시던트 범위를 평가하세요. |
| 격리 | 보안 이벤트의 범위를 최소화하고 제한합니다. |
| 근절 | 보안 이벤트와 관련된 승인되지 않은 리소스 또는 아티팩트를 제거합니다. 보안 인시던트를 일으킨 완화 조치를 구현합니다. |
| 복구 | 시스템을 알려진 안전 상태로 복원하고 이러한 시스템을 모니터링하여 위협이 다시 발생하지 않는지 확인합니다. |
이 단계는 효과적이고 강력한 방식으로 대응하기 위해 보안 인시던트에 대응하고 이를 운영할 때 지침으로 활용해야 합니다. 실제로 취하는 조치는 인시던트에 따라 달라집니다. 예를 들어 랜섬웨어와 관련된 인시던트는 퍼블릭 Amazon S3 버킷과 관련된 인시던트와는 다른 대응 단계를 따라야 합니다. 또한 이러한 단계가 반드시 순차적으로 발생하는 것은 아닙니다. 격리 및 근절 후에는 분석 작업으로 돌아가 자신의 행동이 효과적이었는지 파악해야 할 수도 있습니다.
직원, 프로세스 및 기술 전반의 철저한 준비가 효과적인 운영을 위한 핵심입니다. 따라서 준비 섹션의 모범 사례를 따르면 활성 보안 이벤트에 효과적으로 대응할 수 있습니다.
자세한 내용은 AWS Security Incident Response Guide의 Operations 섹션을 참조하세요.
