本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
回應性控制
回應性控制是安全控制,旨在驅動不良事件或偏離安全基準的補救措施。技術回應性控制的範例包括修補系統、隔離病毒、關閉程序或重新啟動系統。
目標
-
回應性控制可以協助您為常見類型的攻擊 (例如網路釣魚或暴力破解) 建立執行手冊。
-
回應性控制可以實作對潛在安全問題的自動回應。
-
回應式控制項可自動修復 AWS 資源上未預期或未核准的動作,例如刪除未加密的 S3 儲存貯體。
-
回應性控制可以與預防性和偵測性控制進行協調,以建立一種全面、主動的方法來解決潛在的安全事件。
處理
偵測性控制是建立回應性控制的先決條件。您必須能夠偵測安全問題,然後才能進行修復。然後,您可以建立針對安全問題的政策或回應。例如,如果發生暴力攻擊,將實作修復程序。修復程序存在後,可以使用程式設計語言 (例如 Shell 指令碼) 將其自動化並作為腳本執行。
考慮回應性控制是否可能破壞現有的生產工作負載。例如,如果偵測性安全控制是 S3 儲存貯體不得公開存取和修復是關閉 Amazon S3 的公開存取,這可能會對您的公司及其客戶產生重大影響。如果 S3 儲存貯體為公有網站提供服務,則關閉公有存取可能會導致中斷。資料庫是一個類似的範例。如果資料庫不得透過網際網路公開存取,則關閉公開存取可能會影響應用程式的連線。
使用案例
-
自動回應偵測到的安全事件
-
自動修復偵測到的安全漏洞
-
自動復原控制可減少營運停機時間
技術
安全中樞
AWS Security Hub自動將所有新發現項目和現有發現的所有更新 EventBridge 作為事件發送到。您也可以建立自訂動作,將選取的發現項目和深入分析結果傳送至 EventBridge。您可以設定 EventBridge 回應每種類型的事件。此事件可啟動執行修正動作的 AWS Lambda 函數。
AWS Config
AWS Config使用規則來評估您的 AWS 資源,並協助您修復不符合標準的資源。 AWS Config 使用AWS Systems Manager 自動化套用補救。在「自動化」文件中,您可以定義要對 AWS Config 決定不相容的資源執行的動作。建立自動化文件之後,您可以透過 AWS Management Console 或使用 API 在 Systems Manager 中使用這些文件。您可以選擇手動或自動修復不符合標準的資源。
業務成果
最大限度地減少資料損失
在網路安全事件發生後,使用回應性安全控制可以協助最大限度地減少資料損失以及對系統或網路的損壞。回應性控制還可以協助盡快還原關鍵業務系統和程序,從而增強工作負載的恢復能力。
降低成本
自動化可降低與人力資源相關的成本,因為團隊成員不必手動回應事件或以其他方式對事件進行管 case-by-case 理。
