この成熟度モデルの初期フェーズから、Amazon GuardDuty の検出結果に基づいて行動することが推奨されていましたが、インシデント対応チーム (ブルーチーム) の結成という推奨事項は、単にインシデントに対応するだけでなく、より多くのことを意味します。
ブルーチームは、セキュリティインシデントに対応する専門チームです。
ブルーチームの仕事には、異なる段階での活動が含まれます:
クラウドでは、クラウドインシデントへの対応は、オンプレミスでのプロセス実行方法とは大きく異なる可能性があります。クラウドでは、AWS Config や AWS CloudTrail などのサービスのおかげで、インシデント対応プロセスの意思決定に必要な技術情報がすべて利用可能であり、プログラムによるデータ参照が可能なため、より高度な自動化を実現できます。実際、AWS の CISO Stephen Schmidt は、Security Leadership on re:Invent 2019 で、AWS のインフラセキュリティインシデントの 96.4% が人間の介入なしに自動的に解決されていると説明していました。
したがって、クラウドの機能を活用してインシデント対応を管理するためには、ブルーチームは、特に最も頻繁に発生するインシデントや影響の大きいインシデントに対して、自動修復タスクの構築に多くの時間を費やすべきです。
ブルーチームという名前は、アメリカの軍事演習に由来しています。そこでは、敵を装うレッドチームとディフェンスを行うブルーチームでセキュリティがテストされていました。