침해 사고 대응 (Incident Response)

보안 침해사고 발생을 대비하여 얼마나 신속하게 정상적인 안전한 상태로 복귀할 수 있는지가 대응 계획의 중요한 부분이 됩니다. AWS에서는 다음과 같은 자동화된 도구와 모범사례를 제공합니다.

Amazon Detective

Amazon Detective는 탐지 내역이나 의심스러운 행위에 대한 직접적인 원인을 빠르게 식별하고, 분석할 수 있는 환경을 제공합니다. 관련하여 참고할 만한 유용한 내용들은 아래와 같습니다.

Bookmark

AWS Config Rules

고객 환경의 변경에 대응하여 자동화된 조치를 취할 수 있는 규칙을 생성할 수 있으며, 예를 들면, 해당 리소스를 격리하거나, 추가정보를 수집하고, 정상상태로 원복하는 설정을 적용할 수 있습니다. AWS Config Rules를 이용하는데 참고할 만한 유용한 내용들은 아래와 같습니다.

Bookmark

CloudEndure Disaster Recovery

CloudEndure Disaster Recovery는 물리적 서버, 가상 서버 및 클라우드 기반 서버를 AWS로 빠르고 안정적으로 복구함으로써 가동 중단 시간 및 데이터 손실을 최소화합니다. AWS CloudEndure Disaster Recovery를 보안 측면에서 이용하는데 참고할 만한 유용한 내용들은 아래와 같습니다.

Bookmark

침해사고 대응과 관련된 기타 유용한 링크들

Support - 내 AWS 계정이 해킹당한 것 같습니다. - AWS 계정이 해킹당했다고 연락을 받았거나 의심이 갈때 대응방법 안내 혹은 사전에 조치할 수 있는 모범 사례 등을 안내
Support - How do I report abuse of AWS resources? - 스팸, 디도스, 스캐닝, 침입시도, 정보 탈취시도, 멀웨어 공격 등 다른 사용자의 AWS 리소스로 부터의 각종 침입 및 공격 시도에 대해 대응하는 절차를 안내
Support - AWS 계정에서 무단 활동이 발견되면 어떻게 해야 합니까?
Solutions - Automated Forensics Orchestrator for Amazon EC2
GIT – GRR - 구글이 만든 Python기반 IR 프레임웍
GIT - LiMEaide - Linux 메모리 캡춰 툴
GIT - Margarita Shotgun - Linux 메모리 캡춰 툴
GIT - AWS Incident Response Runbook Samples
GIT - Awesome Threat Modeling
GIT - MITRE CTI
GIT - MITRE Caldera
GIT - MITRE S3 Baseline
GIT - MITRE AWS Foundation Baseline
GIT - MITRE RDS Baseilne
GIT - Guardicore
GIT - Guardicore Lab's Repository
GIT - Amazon GuardDuty Tester
GIT - Log4jHotPatch
STIX - STIX
MITRE ATT&CK - AWS Matrix
MITRE ATT&CK - Att&ck Nivigator
GIT - Amazon Web Services Security Control Mappings to MITRE ATT&CK
GIT – Threat Response - AWS 환경에 대한 포렌식 도구들
GIT - Fargate IR - Fargate환경에 대한 IR구성 템플릿, PoC 레벨임
Ext. - KISA 인터넷 보호나라 인터넷 침해사고 - 상담 및 신고
Ext. - KISA 인터넷 보호나라 인터넷 침해사고 - 신고 가이드 및 매뉴얼
동영상 [AWS Summit Seoul 2020] - AWS 환경에서의 위협 탐지 및 사냥
Blog - How to get started with security response automation on AWS
Blog - How to perform automated incident response in a multi-account environment
Blog - How to automate incident response in the AWS Cloud for EC2 instances
Blog - How to approach threat modeling
Blog - Automate Amazon EC2 instance isolation by using tags
Blog - Creating contacts, escalation plans, and response plans in AWS Systems Manager Incident Manager
Blog - How to perform automated incident response in a multi-account environment
Blog - Forensic investigation environment strategies in the AWS Cloud
Blog - Apache Log4j2 보안 이슈 (CVE-2021-44228) 대응 공지
Blog - Apache Log4j용 핫패치 제공
Blog - Using AWS security services to protect against, detect, and respond to the Log4j vulnerability
Blog - Advice on mitigating the Apache log4j security issue for EKS, ECS, and Fargate customers
Blog - AWS resources to address Apache Log4j vulnerabilities
Blog - Top 10 security best practices for securing backups in AWS
Blog - Automate and improve your security posture using AWS Backup and AWS PrivateLink
Blog - Journey to Adopt Cloud-Native Architecture Series #5 – Enhancing Threat Detection, Data Protection, and Incident Response
Blog - Banking Trends 2022: Cyber vault and Ransomware
Blog - Welcoming the AWS Customer Incident Response Team

Remarks

이 사이트의 모든 내용은 바뀌거나 수정될 수 있습니다.
공식적인 상세한 내용은 http://aws.amazon.com 의 내용을 참조하십시오.
제공되는 내용에 이견이 있거나 잘못된 링크를 발견하시면, 관리자(gisunlim@amazon.com)에게 메일을 주시면 대단히 감사하겠습니다.