Contrôles de détection

Les contrôles de détection sont des contrôles de sécurité conçus pour détecter, journaliser et alerter après la survenue d'un événement. Les contrôles de détection constituent un élément fondamental des cadres de gouvernance. Ces barrières de protection constituent une deuxième ligne de défense, en vous signalant les problèmes de sécurité qui ont contourné les contrôles préventifs.

Par exemple, vous pouvez appliquer un contrôle de détection qui détecte et vous avertit si un compartiment Amazon Simple Storage Service (Amazon S3) devient accessible au public. Bien que vous ayez mis en place des contrôles préventifs qui empêchent l'accès public aux compartiments S3 au niveau du compte, puis désactivent l'accès via des SCP, un acteur malveillant peut contourner ces contrôles préventifs en se connectant en tant qu'utilisateur administratif. Dans ces situations, un contrôle de détection peut vous avertir de la mauvaise configuration et de la menace potentielle.

Objectifs

• Les contrôles de détection vous aident à améliorer les processus opérationnels de sécurité et les processus de qualité.

• Les contrôles de détection vous aident à respecter les obligations réglementaires, légales ou de conformité.

• Les contrôles de détection offrent aux équipes chargées des opérations de sécurité la visibilité nécessaire pour répondre aux problèmes de sécurité, notamment aux menaces avancées qui contournent les contrôles préventifs.

• Les contrôles de détection peuvent vous aider à identifier la réponse appropriée aux problèmes de sécurité et aux menaces potentielles.

Processus

Vous implémentez des contrôles de détection mis en œuvre en deux phases. Tout d'abord, vous configurez le système pour enregistrer les événements et les états des ressources dans un emplacement centralisé, tel qu'Amazon CloudWatch Logs. Une fois la journalisation centralisée en place, vous analysez ces journaux pour détecter les anomalies susceptibles d'indiquer une menace. Chaque analyse est un contrôle qui est mappé à vos exigences et politiques d'origine. Par exemple, vous pouvez créer un contrôle de détection qui recherche dans les journaux un modèle spécifique et génère une alerte en cas de correspondance. Les contrôles de détection sont utilisés par les équipes de sécurité pour améliorer leur visibilité globale sur les menaces et les risques auxquels leur système peut être exposé.

Cas d’utilisation

Détection de comportements suspects

Les contrôles de détection permettent d'identifier toute activité anormale, telle que la compromission des informations d'identification d'un utilisateur privilégié ou l'accès à des données sensibles ou leur exfiltration. Ces contrôles sont des facteurs réactifs importants qui peuvent aider votre entreprise à identifier et à comprendre l'ampleur des activités anormales.

Détection de la fraude

Ces contrôles permettent de détecter et d'identifier une menace au sein de votre entreprise, telle qu'un utilisateur qui contourne les politiques et qui effectue des transactions non autorisées.

Conformité d'

Les contrôles de détection vous aident à respecter des exigences de conformité, telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), et peuvent contribuer à prévenir des usurpations d'identité. Ces contrôles peuvent vous aider à découvrir et à protéger les informations sensibles soumises à la conformité réglementaire, telles que les informations personnelles identifiables.

Analyse automatisée

Les contrôles de détection peuvent analyser automatiquement les journaux pour détecter les anomalies et autres indicateurs d'activité non autorisée.

Vous pouvez analyser automatiquement les journaux provenant de différentes sources telles que les journaux AWS CloudTrail , le journal de flux VPC et des journaux de système de nom de domaine (DNS), pour détecter des activités potentiellement malveillantes. Pour faciliter l'organisation, regroupez les alertes de sécurité ou les résultats de plusieurs Services AWS sites vers un emplacement centralisé.

Technologie

Un contrôle de détection courant consiste à implémenter un ou plusieurs services de surveillance capables d'analyser les sources de données, telles que les journaux, afin d'identifier les menaces de sécurité. Vous pouvez y analyser des AWS Cloud sources telles que les AWS CloudTrail journaux, les journaux d'accès Amazon S3 et les journaux de flux Amazon Virtual Private Cloud pour détecter les activités inhabituelles. AWS les services de sécurité tels qu'Amazon GuardDuty, Amazon Detective et Amazon Macie disposent de fonctionnalités de surveillance intégrées. AWS Security Hub

GuardDuty et Security Hub

Amazon GuardDuty utilise des techniques de renseignement sur les menaces, d'apprentissage automatique et de détection d'anomalies pour surveiller en permanence les sources de vos journaux afin de détecter toute activité malveillante ou non autorisée. Le tableau de bord fournit des informations sur l'état en temps réel de votre charge de travail Comptes AWS et de votre charge de travail. Vous pouvez intégrer un service GuardDuty de AWS Security Hubgestion de la posture de sécurité dans le cloud qui vérifie le respect des meilleures pratiques, regroupe les alertes et permet des mesures correctives automatisées. GuardDuty envoie les résultats à Security Hub afin de centraliser les informations. Vous pouvez intégrer davantage Security Hub aux solutions de gestion des informations et des événements de sécurité (SIEM) afin d'étendre les capacités de surveillance et d'alerte de votre entreprise.

Macie

Amazon Macie est un service totalement géré de sécurité et de confidentialité des données qui utilise le machine learning et la correspondance de modèles pour détecter et protéger les données sensibles dans AWS. Vous trouverez ci-dessous certaines des commandes et des fonctionnalités de détection disponibles dans Macie :

• Macie inspecte l'inventaire des compartiments et tous les objets stockés dans Amazon S3. Ces informations peuvent être présentées dans une vue de tableau de bord unique, pour ainsi vous offrir de la visibilité et vous aider à évaluer la sécurité des compartiments.

• Pour découvrir les données sensibles, Macie utilise des identifiants de données intégrés et gérés et prend également en charge les identifiants de données personnalisés.

• Macie s'intègre nativement aux autres outils Services AWS et outils. Par exemple, Macie publie ses résultats sous forme d' EventBridge événements Amazon, qui sont automatiquement envoyés à Security Hub.

Les bonnes pratiques pour configurer des contrôles de détection dans Macie sont les suivantes :

• Activez Macie sur tous les comptes. En utilisant la fonctionnalité de gestion déléguée, activez Macie sur plusieurs comptes avec AWS Organizations.

• Utilisez Macie pour évaluer la sécurité des compartiments S3 de vos comptes. Cela permet d'éviter les pertes de données en fournissant une visibilité sur l'emplacement des données et l'accès aux données. Pour plus d'informations, veuillez consulter Analyzing your Amazon S3 security posture (documentation Macie).

• Automatisez la découverte des données sensibles dans vos compartiments S3 en exécutant et en planifiant des tâches de traitement et de découverte de données automatisées. Cela permet d'inspecter régulièrement les compartiments S3 pour détecter la présence de données sensibles.

AWS Config

AWS Configvérifie et enregistre la conformité des AWS ressources. AWS Config découvre les AWS ressources existantes et génère un inventaire complet, ainsi que les détails de configuration de chaque ressource. En cas de modifications de la configuration, il les enregistre et envoie une notification. Cela peut vous aider à détecter et à annuler les modifications non autorisées de l'infrastructure. Vous pouvez utiliser des règles AWS gérées et créer des règles personnalisées.

Les bonnes pratiques pour configurer des contrôles de détection dans AWS Config sont les suivantes :

• Activez Région AWS cette option AWS Config pour chaque compte membre de l'organisation et pour chaque compte contenant des ressources que vous souhaitez protéger.

• Configurez des alertes Amazon Simple Notification Service (Amazon SNS) pour toute modification de la configuration.

• Stockez des données de configuration dans un compartiment S3 et utilisez Amazon Athena pour les analyser.

• Automatisez la correction des ressources non conformes en utilisant Automation, une fonctionnalité d' AWS Systems Manager.

• Utilisez EventBridge Amazon SNS pour configurer les notifications relatives aux ressources non AWS conformes.

Trusted Advisor

AWS Trusted Advisor peut être utilisé comme service pour les contrôles de détection. Grâce à un ensemble de contrôles, Trusted Advisor identifie les domaines dans lesquels vous pouvez optimiser votre infrastructure, améliorer les performances et la sécurité ou réduire les coûts. Trusted Advisor fournit des recommandations basées sur les AWS meilleures pratiques que vous pouvez suivre pour améliorer vos services et vos ressources. Les plans Business et Enterprise Support donnent accès à tous les chèques disponibles pour les piliers du AWS Well-Architected Framework.

Les bonnes pratiques pour configurer des contrôles de détection dans Trusted Advisor sont les suivantes :

• Consulter le résumé au niveau des contrôles

• Implémentez des recommandations propres aux ressources pour les états d'avertissement et d'erreur.

• Vérifiez Trusted Advisor fréquemment pour examiner activement et mettre en œuvre ses recommandations.

Amazon Inspector

Amazon Inspector est un service automatisé de gestion des vulnérabilités qui, après avoir été activé, analyse continuellement vos charges de travail pour détecter les vulnérabilités logicielles et l'exposition involontaire du réseau. Il contextualise les résultats sous forme d'un score de risque qui peut vous aider à déterminer les prochaines étapes, telles que la correction ou la confirmation de l'état de conformité.

Les bonnes pratiques pour configurer des contrôles de détection dans Amazon Inspector sont les suivantes :

• Activez Amazon Inspector sur tous les comptes EventBridge et intégrez-le à Security Hub pour configurer les rapports et les notifications en cas de failles de sécurité.

• Priorisez les mesures correctives et les autres actions en fonction du score de risque d'Amazon Inspector.

Résultats métier

Moins d'efforts humains et d'erreurs humaines

Vous pouvez parvenir à l'automatisation en utilisant l'infrastructure en tant que code (IaC). L'automatisation du déploiement, ainsi que de la configuration des services et des outils de surveillance et de correction réduit le risque d'erreurs manuelles, mais aussi le temps et les efforts nécessaires pour mettre à l'échelle ces contrôles de détection. L'automatisation facilite le développement de runbooks de sécurité et réduit les opérations manuelles pour les analystes de sécurité. Des examens réguliers permettent d'ajuster les outils d'automatisation, mais aussi d'itérer et d'améliorer en permanence les contrôles de détection.

Mesures appropriées contre les menaces potentielles

La capture et l'analyse des événements à partir des journaux et des métriques sont cruciales pour gagner en visibilité. Cela permet aux analystes de prendre des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser vos charges de travail. La capacité d'identifier rapidement les vulnérabilités existantes aide les analystes à prendre les mesures appropriées pour y remédier.

Meilleure réponse aux incidents et meilleure gestion des enquêtes

L'automatisation des outils de contrôle de détection peut augmenter la vitesse de détection, d'investigation et de restauration. Les alertes et notifications automatisées basées sur des conditions définies permettent aux analystes de sécurité d'enquêter et de réagir de manière appropriée. Ces facteurs réactifs peuvent vous aider à identifier et à comprendre l'ampleur d'une activité anormale.