SEC10-BP02 制定事件管理计划 - 安全支柱
实施指导实施步骤资源

SEC10-BP02 制定事件管理计划

为事件响应制定的第一个文档是事件响应计划。事件响应计划旨在为您的事件响应计划和战略奠定基础。

建立此最佳实践的好处:要想成功实现可扩展的事件响应计划,制定全面且明确定义的事件响应流程是关键。在发生安全事件时,明确的步骤和工作流有助于您及时做出响应。您可能已经有事故响应流程。无论您当前的状态如何,定期更新、迭代和测试事件响应流程都很重要。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

对于响应、缓解安全事件的潜在影响并从中恢复来说,事件管理计划是至关重要的。事件管理计划是一个结构化的过程,用于及时地确定、补救和响应安全事件。

云的许多操作角色和要求都与本地环境中的相同。在创建事件管理计划时,应考虑最符合业务成果和合规性要求的响应和恢复策略,这一点非常重要。例如,如果您在 AWS 中运行在美国符合 FedRAMP 标准的工作负载,则遵守《NIST SP 800-61 计算机安全处理指南》会很有帮助。同样,在使用欧洲个人身份信息(PII)数据运行工作负载时,请考虑具体的场景,例如如何根据以下条例的强制要求,保护和应对与数据驻留相关的问题:《欧盟通用数据保护条例(GDPR)》。

在为 AWS 中的工作负载制定事件管理计划时,请首先使用 AWS 责任共担模式,以便构建针对事件响应的深度防御方法。在此模式中,AWS 负责管理云本身的安全,云内部的安全则由您负责。这意味着您将保留控制权,并对选择实施的安全控制机制负责。《AWS Security Incident Response Guide》详细介绍了构建以云为中心的事件管理计划的关键概念和基本指南。

必须不断地迭代有效的事件管理计划,使其与您的云运营目标保持一致。在创建和改进事件管理计划时,请考虑使用下面详述的实施计划。

实施步骤

定义角色和职责

处理安全事件需要在整个组织中落实纪律要求和行动意愿。在您的组织结构中,发生事件时,负责、追责、咨询或者告知信息等各个环节会涉及到不同的人员,例如人力资源(HR)、高管团队和法律部门的代表。请考虑这些角色和职责,以及是否必须有第三方参与。请注意,许多地区的当地法律都规定了,哪些事情能做,哪些事情不能做。尽管为安全响应计划建立一个负责、问责、咨询和知情(RACI)的图表可能显得过于繁文缛节,但这样做有利于快速直接地进行沟通,并清楚地概述在事件不同阶段负责的领导层。

在事件发生期间,让受影响应用程序和资源的负责人和开发人员参与进来非常关键,因为这些人员是主题专家(SME),可以提供信息和背景情况来协助衡量影响。您应该先练习并与开发人员和应用程序负责人建立关系,然后才能依靠他们的专业知识进行事件响应。应用程序负责人或 SME,如云管理员或工程师,可能需要在不熟悉环境、面临复杂情况或响应人员没有访问权限的情况下采取行动。

最后,值得信赖的合作伙伴可以参与到调查或响应中,因为他们可以提供额外的专业知识和宝贵的审查工作。当您自己的团队缺乏具备这些技能的人员时,您可能需要聘请外部人员寻求帮助。

了解 AWS 响应团队和支持

  • AWS Support

    • AWS Support 包含一系列计划,这些计划旨在让您能够运用各种工具和专业知识来为成功部署和正常实施 AWS 解决方案提供支持。如果您需要技术支持及更多资源来规划、部署和优化 AWS 环境,则可以选择最符合 AWS 使用案例的支持计划。

    • 考虑将支持中心(在 AWS Management Console 中,需要登录)作为中心联系点,为影响您 AWS 资源的问题获取支持。对 AWS Support 的访问由 AWS Identity and Access Management 控制。有关获取对 AWS Support 功能的访问权限的更多信息,请参阅《Getting started with AWS Support》。

  • AWS 客户事件响应团队(CIRT)

    • AWS 客户事件响应团队(CIRT)是一支专业的 AWS 全球团队,全天候向客户提供支持,协助客户解决根据 AWS 责任共担模式应由客户一方负责的安全事件。

    • 当 AWS CIRT 为您提供支持时,他们会为 AWS 上出现的安全事件提供分类和恢复方面的协助。他们可以使用 AWS 服务日志来协助分析根本原因,并为您提供恢复建议。他们还可以提供安全建议和最佳实践,从而让您以后能够避免出现安全事件。

    • AWS 客户要与 AWS CIRT 交流,可以开立 AWS Support 案例

  • DDoS 响应支持

    • AWS 提供 AWS Shield,它提供了托管的分布式拒绝服务(DDoS)攻击保护服务,可保护在 AWS 上运行的 Web 应用程序。Shield 提供不间断检测和自动化内嵌缓解措施,可以最大限度地减少应用程序停机时间和延迟,因此无需与 AWS Support 交流即可从 DDoS 保护中受益。Shield 分为两个级别:AWS Shield Standard 和 AWS Shield Advanced。要了解这两个级别之间的区别,请参阅《Shield 功能文档》。

  • AWS Managed Services(AMS)

    • AWS Managed Services(AMS)可持续管理您的 AWS 基础设施,让您可以专注于应用程序。AMS 实施最佳实践来维护您的基础设施,让您能够降低运营开销和风险。AMS 可以自动执行常见活动 (例如更改请求、监控、补丁管理、安全性和备份服务),并可以提供全生命周期服务来预置、运行和支持您的基础设施。

    • AMS 负责部署一套安全检测控制措施,并全天候提供对警报的第一线响应。启动警报后,AMS 遵循一组标准的自动和手动行动手册,验证是否有一致的响应。这些行动手册在功能部署期间与 AMS 客户共享,这样客户就能够开发并与 AMS 协调响应措施。

制定事件响应计划

事件响应计划旨在为您的事件响应计划和战略奠定基础。事件响应计划应包含在正式文档中。事件响应计划通常包括以下部分:

  • 事件响应团队概述:概述事件响应团队的目标和职能。

  • 角色和职责:列出事件响应利益相关者,并详细说明他们在发生事件时的角色。

  • 沟通计划:详细介绍联系信息,以及在事件发生期间如何进行沟通。

  • 后备沟通方法:此时的最佳实践是采用带外通信,作为事件沟通的后备。AWS Wickr 就是一个提供安全的带外通信渠道的应用程序示例。

  • 事件响应阶段和应采取的行动:列举事件响应的各个阶段(例如,检测、分析、消除、遏制和恢复),包括在这些阶段中要采取的高级别操作。

  • 事件严重性和优先级定义:详细说明如何对事件的严重性进行分类,如何确定事件的优先级,然后详细说明严重性定义对上报程序有何影响。

尽管这些内容部分在各种规模和行业的公司中很常见,但每个组织的事件响应计划都是独一无二的。您需要制定最适合贵组织的事件响应计划。

资源

相关最佳实践:

相关文档: