[AWS-Security] 10.2. 사고 대응 계획

1. 사고 대응 계획

보안 이벤트가 발생했을 때 공격자가 피해를 입히기 전에 가능한 한 빨리 위협을 완화하는 것이 중요하다.
위기 상황에서 관련된 모든 사람이 정확히 무엇을 해야 하는지 혼선 없이 빠르게 조치하려면 사전에 계획을 수립하는 것이 필수적이다.

• 모든 상황에 대한 계획을 세울 수는 없으므로, 발생 가능성이 높고 타격이 큰 위협이나 보안 모니터링에서 발생하는 경고를 중심으로 대응 계획을 수립해야 한다.
• 경고를 발생시키는 모니터링 시스템이 구축되어 있더라도, 그에 따른 대응 계획이 없다면 모니터링 자체가 낭비될 수 있다.

2. 플레이북

사고 대응 계획의 가장 대표적인 형태가 바로 플레이북이다.

• 플레이북은 사고 대응 시나리오를 해결하기 위해 수행해야 하는 단계를 상세히 적어놓은 레시피와 같다.
• 특정 보안 전문가가 아니더라도, 사고 대응 팀원이라면 누구나 처음 읽고 바로 지시사항을 따라할 수 있도록 쉽게 명확하게 작성되어야 한다.
• 아래 사진은 의심스러운 수신 이메일(피싱 시도)을 처리하는 과정을 순서도로 나타낸 샘플 플레이북이다.

3. 플레이북 작성 예시 (S3 버킷 암호화)

플레이북은 복잡할 필요 없이 구조화된 대응을 돕기만 하면 된다.
S3 버킷에 기본 암호화가 설정되어 있지 않는 경고를 받을 때의 플레이북 예시는 아래와 같다.

1. 버킷에 기본 암호화가 활성화되어 있지 않다는 경고를 받으면 시작한다.
2. S3 버킷에 key=DataClassification, value=Sensitive 태그가 있는지 확인한다.
   (민감한 데이터가 포함된 버킷인지 분류 및 확인하는 과정)
3. 해당 태그가 있다면 S3 콘솔이나 S3 API의 PutBucketEncryption 명령을 사용해 S3 버킷에 대해 기본 암호화를 설정한다. (태그가 없다면 오알림으로 간주하고 중지)
4. 종료한다.