Amazon Web Services 한국 블로그
AWS Security Incident Response 출시: 기업 내 보안 이벤트에 대응 및 복구 지원
오늘 당사는 보안 이벤트를 빠르고 효과적으로 관리할 수 있도록 설계된 새로운 서비스인 AWS Security Incident Response (AWS 보안 사고 대응)을 발표하려고 합니다. 이 서비스는 고객이 계정 탈취, 데이터 침해, 랜섬웨어 공격을 비롯한 다양한 보안 이벤트에 대비하고 대응하고 복구할 수 있도록 특별히 설계되었습니다.
보안 사고 대응은 AWS Security Hub를 통해 Amazon GuardDuty의 보안 조사 결과와 통합 타사 위협 탐지 도구를 통해 얻은 보안 조사 결과에 대한 분류 및 조사를 자동화합니다. 또한 커뮤니케이션과 조정을 용이하게 하고 보안 이벤트 중에 도움을 줄 수 있는 AWS 고객 사고 대응팀(CIRT)의 보안 전문가와 연중무휴로 연락할 수 있도록 합니다. 이 서비스는 준비부터 탐지, 분석 및 복구에 이르는 사고 대응 라이프사이클 단계 전반에 걸쳐 고객에게 보다 포괄적인 지원을 제공하는 것을 목표로 합니다.
고객 입장에서 보안 이벤트는 점점 더 널리 퍼지고 복잡해지고 있습니다. 보안 팀은 종종 엄청난 수의 일일 알림을 받게 되는데, 이렇게 되면 리소스의 우선 순위가 잘못되고 효율성이 떨어질 수 있습니다. 조사 결과를 수동으로 조사하면 리소스에 부담을 주며 고객은 중요한 보안 경고를 간과할 수 있습니다. 또한 여러 이해 관계자의 대응을 조정하고, 다양한 환경에서 권한을 관리하고, 작업을 문서화하는 것은 프로세스를 복잡하게 만듭니다. 고객을 더 잘 지원하고 보안 이벤트 중에 고객이 직면하는 일상적이면서 번거로운 작업 부담을 해소할 기회를 얻을 수 있습니다.
주요 기능
AWS 보안 사고 대응은 고객이 보안 이벤트에 효과적으로 대비하고, 대응하고, 보안 이벤트에서 복구하는 데 도움이 되는 세 가지 주요 핵심 기능을 통해 문제를 해결합니다.
- 보안 사고 대응은 Security Hub를 통해 GuardDuty의 보안 결과 및 지원되는 타사 도구를 자동으로 분류하여 즉각적인 조치가 필요한 우선 순위가 높은 사고를 식별합니다. 이 서비스는 자동화 및 고객별 정보를 사용하여 예상 동작을 기준으로 보안 결과를 필터링하고 억제하므로 팀이 중요한 보안 경고에 집중할 수 있습니다.
- 이 서비스는 타사 보안 제공업체를 비롯한 내부 및 외부 이해 관계자 모두에게 확장할 수 있는 사전 구성된 알림 규칙 및 권한 설정을 제공하여 사고 대응을 간소화합니다. 고객은 메시징, 보안 데이터 전송, 화상 회의 일정과 같은 통합 기능을 갖춘 중앙 집중식 콘솔에 액세스할 수 있으며, 이 모든 기능은 서비스 API 또는 AWS Management Console을 통해 액세스할 수 있습니다. 추가 기능에는 자동화된 사례 기록 추적 및 보고가 포함되며, 이를 통해 보안 팀은 문제 해결 및 복구 작업에 집중할 수 있습니다.
- 고객은 AWS CIRT에서 셀프 서비스 조사 도구와 연중무휴 지원을 이용할 수 있습니다. 또한 고객은 독립적으로 사고를 처리하거나 타사 보안 공급업체와 상호 운용할 수 있습니다. 이러한 옵션을 통해 고객은 특정 필요 및 요구 사항에 따라 사고 대응을 선택, 관리 및 수행할 수 있습니다.
고객은 핵심 기능 외에도 시간이 지남에 따라 보안 사고 대응 성능을 측정, 모니터링 및 개선하는 데 도움이 되는 지표가 포함된 서비스 대시보드를 활용할 수 있습니다. 이러한 지표에는 평균 해결 시간(MTTR), 특정 기간 내 진행 중인 사례 및 종결된 사례 수, 선별된 조사 결과 수, 기타 주요 성과 지표가 포함됩니다. 고객은 정보를 대조하거나 일회성 보고서를 작성할 필요 없이 이러한 지표에 즉시 액세스할 수 있습니다.
시작하기
온보딩 프로세스는 몇 단계만 거치면 완료할 수 있습니다. 보안 사고 대응은 AWS Organizations와 통합하여 현재 및 미래 계정에 추가 보안 계층과 함께 포괄적인 보안 적용 범위를 제공합니다. 고객은 먼저 조직 내 중앙 계정을 선택하여 활성 및 기간별 보안 이벤트를 모두 생성하고 관리할 수 있습니다.
다음으로 고객은 사전 예방적 사고 대응 기능을 활성화할 수 있습니다. 이 기능은 보안 사고 대응 팀에서 Security Hub를 통해 GuardDuty 또는 타사 탐지 도구의 결과를 모니터링하고 조사할 수 있도록 하는 서비스 수준 권한을 생성합니다. 그런 다음 공통 IP 주소, AWS Identity and Access Management(IAM) 보안 주체 및 기타 관련 속성을 포함한 서비스 자동화 및 고객별 데이터를 사용하여 이러한 결과를 자동으로 정렬하고 수정합니다. 자동으로 해결할 수 없는 조사 결과의 경우 보안 사고 대응 기능은 보안 사례를 생성하여 고객 조직 내 적절한 이해 관계자에게 알립니다.
또한 고객은 특정 IAM 역할을 배포하여 제한 작업을 실행할 수 있는 서비스 권한을 구성할 수 있습니다. 고객은 보안 사고 대응 억제 기능을 사용하여 사고 대응 시간을 단축하고 보안 이벤트가 계정 및 리소스에 미치는 영향을 최소화할 수 있습니다.
가용성 및 시작하기
AWS 보안 사고 대응은 이제 미국 동부(버지니아 북부, 오하이오), 미국 서부(오리건), 아시아 태평양(서울, 싱가포르, 시드니, 도쿄), 캐나다(중부), 유럽(프랑크푸르트, 아일랜드, 런던, 스톡홀름) 등 전 세계 12개 AWS 리전에서 사용할 수 있습니다.
제품 페이지를 방문하여 AWS 보안 사고 대응에 대해 자세히 알아보십시오.