Incident response
แม้ว่าจะมีการควบคุมเชิงป้องกัน (Preventive) และเชิงตรวจจับ (Detective) ที่สมบูรณ์มากเพียงใด องค์กรของคุณก็ยังควรวางกระบวนการเพื่อตอบสนองและบรรเทาผลกระทบที่อาจเกิดขึ้นจากอุบัติการณ์ด้านความมั่นคงปลอดภัย สถาปัตยกรรมของเวิร์กโหลดส่งผลอย่างมากต่อความสามารถของทีมในการปฏิบัติงานอย่างมีประสิทธิภาพระหว่างเกิดเหตุ เพื่อแยกส่วนหรือควบคุมระบบ (Isolate/Contain) และกู้คืนการทำงานกลับสู่สถานะที่ดีตามที่ระบุไว้ การจัดเตรียมเครื่องมือและสิทธิ์การเข้าถึงไว้ล่วงหน้าก่อนเกิดเหตุ รวมถึงการฝึกซ้อมการตอบสนองต่ออุบัติการณ์อย่างสม่ำเสมอผ่านกิจกรรม Game days จะช่วยยืนยันว่าสถาปัตยกรรมของคุณรองรับการสืบสวนและการกู้คืนที่ทันท่วงที
ใน AWS มีแนวปฏิบัติที่ช่วยให้การตอบสนองต่ออุบัติการณ์มีประสิทธิภาพดังนี้:
-
มีการบันทึก Log อย่างละเอียดซึ่งมีเนื้อหาสำคัญ เช่น การเข้าถึงไฟล์และการเปลี่ยนแปลงข้อมูล
-
เหตุการณ์ต่างๆ (Events) สามารถถูกประมวลผลโดยอัตโนมัติ และสั่งรันเครื่องมือเพื่อตอบสนองแบบอัตโนมัติผ่านการใช้ AWS APIs
-
คุณสามารถจัดเตรียมเครื่องมือและ "ห้องสะอาด" (Clean room) ไว้ล่วงหน้าได้โดยใช้ AWS CloudFormation ซึ่งช่วยให้คุณสามารถดำเนินการทางนิติวิทยาศาสตร์ดิจิทัล (Forensics) ในสภาพแวดล้อมที่ปลอดภัยและแยกอิสระได้
คำถามต่อไปนี้จะเน้นที่การพิจารณาด้านความมั่นคงปลอดภัย:
SEC 10: คุณคาดการณ์ ตอบสนอง และกู้คืนจากอุบัติการณ์ได้อย่างไร? การเตรียมความพร้อมเป็นสิ่งสำคัญต่อการสืบสวน การตอบสนอง และการกู้คืนจากอุบัติการณ์ด้านความปลอดภัยที่รวดเร็วและมีประสิทธิภาพ เพื่อช่วยลดการหยุดชะงักที่จะเกิดขึ้นกับองค์กรให้น้อยที่สุด
ตรวจสอบให้แน่ใจว่าคุณมีวิธีการมอบสิทธิ์การเข้าถึงให้กับทีมความปลอดภัยได้อย่างรวดเร็ว และทำให้การแยกส่วน Instance (Isolation) รวมถึงการบันทึกข้อมูลและสถานะเพื่อการทำนิติวิทยาศาสตร์เป็นไปอย่างอัตโนมัติ