Day 28: Incident Response on AWS

天有不测风云，任何单位就算已经完全做到了前面四大面向，你应该还是要在内部建立一套事件回应的机制，透过这套机制确保资安事件发生时能够有效减少伤害，并透过在平日的演练，来熟悉这套流程。

NIST在2012年有释出一版事件回应的设计原则SP 800–61 Rev. 2 Computer Security Incident Handling Guide，里面主要包含以下项目:事件发生後要通报那些人员、将流程文件化、自动化、平时要有将log等相关系统资讯向外抛的设定以及改善流程。

在执行事件回应时，你应该要做到以下四件事
1.平时教育训练
在整体资安防护上面，其实最重要的部分就是人员的教育。大部分会发生资安事件几乎都是出自於人员的不当配置造成系统漏洞或是资料外泄。透过学习以及实际演练布建，更让相关人员能够更加熟悉。

2. 资安准备
   为了预防资安事件发生时，能处理问题的人员权限不够，所以平时就应该要依据最小权限法来将权限开给相关人员。平时就应该要订定公司内部问题解决流程，包含事情如何解决的步骤、谁要处理、问题应回报给谁等。
   为了避免内部讨论的盲点，建议可以找寻顾问或是AWS相关合作夥伴来进行谘询，透过定期的会议来检讨并找出问题，进一步地修改资安处理流程。讨论完成後，就讨论所试想的情境先写好自动化的解决方案，如果遇到类似问题可以快速解决。

3. 进行资安演练
   现在市面上有非常多的资安演练模式，例如:渗透测试、红队测试等，其实都是为了要模拟当资安事件发生时，组织有没有办法在一定的时间内来解决问题，并且确认平时各面向的资安准备是否充足，找出相关的漏洞或弱点进行修补。

4. 反覆执行
   将所有流程文件化制作操作手册，或是透过撰写成程序，例如Lambda，来自动化执行回应，以避免人员的操作错误。当事件发生时也可以透过Eventbridge触发SNS传送告警通知给管理人员进行处理。

事件回应的简介先到这边，下篇进入相关服务介绍