Capacité 5. Assurer la surveillance de la sécurité et la réponse aux incidents - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Capacité 5. Assurer la surveillance de la sécurité et la réponse aux incidents

Cette fonctionnalité prend en charge les meilleures pratiques 9 et 10 issues des meilleures pratiques AWS SRA pour l'IoT.

Capability 5 se concentre sur la mise en œuvre de mécanismes complets de surveillance de la sécurité et de réponse aux incidents dans les environnements IoT, IIo T, OT, Edge et cloud. Cette fonctionnalité inclut le déploiement de mécanismes de journalisation et de surveillance, la gestion centralisée des alertes de sécurité, ainsi que la création de guides de réponse aux incidents et de plans de continuité des activités adaptés aux défis uniques des architectures OT et IT hybrides.

Justification

L'intégration des technologies OT, IoT et IIo T aux systèmes informatiques traditionnels et aux services cloud introduit de nouveaux vecteurs d'attaque et élargit la surface globale des cyberattaques. Les événements de sécurité peuvent provenir d'environnements OT et se propager aux systèmes informatiques, ou ils peuvent provenir de systèmes informatiques et se propager aux environnements OT. Il est donc essentiel de mettre en œuvre une surveillance complète de la sécurité sur l'ensemble de la surface d'attaque. La mise en œuvre de cette fonctionnalité permet aux entreprises de :

  • Établissez une vision unifiée de la sécurité dans les environnements OT, IoT, IIo T, Edge et cloud.

  • Détectez et répondez aux anomalies de sécurité et aux menaces en temps réel.

  • Maintenez la continuité opérationnelle face aux cyberincidents.

  • Améliorez la résilience globale en matière de cybersécurité et réduisez l'impact potentiel des failles de sécurité.

En outre, le développement de manuels de réponse aux incidents et de plans de continuité des activités spécifiquement adaptés aux charges de travail OT et IIo T connectées au cloud garantit que les entreprises peuvent gérer efficacement les incidents de sécurité et se rétablir en cas d'incident de sécurité. Cette approche proactive minimise les temps d'arrêt, aide à se protéger contre les pertes financières et protège la réputation de l'entreprise en cas de faille de sécurité ou d'interruption opérationnelle.

Considérations sur la sécurité

La principale considération prise en compte par cette fonctionnalité est le risque de détection différée des incidents de sécurité en raison de la surveillance cloisonnée des environnements OT et informatique. Cela peut être aggravé par l'incapacité de corréler les événements de sécurité entre ces diverses piles technologiques. Cette fragmentation entraîne souvent une visibilité insuffisante sur le trafic et les anomalies du réseau industriel, et expose les systèmes critiques à des événements non détectés. En outre, la nature interconnectée des systèmes industriels modernes crée le risque de défaillances en cascade, où un événement de sécurité dans une zone peut se propager rapidement entre les systèmes OT et informatiques interconnectés, et peut amplifier l'impact d'un incident.

Une autre préoccupation importante est l'incompatibilité des procédures de réponse traditionnelles lorsqu'il s'agit de traiter des incidents OT/IT de sécurité hybrides, qui nécessitent des connaissances spécialisées et une action coordonnée dans de multiples domaines. Cela est particulièrement important compte tenu de la menace croissante que représentent les événements cyberphysiques qui ciblent les processus industriels. En outre, la nature unique des systèmes OT et IIo T interconnectés signifie souvent que les mécanismes de reprise après un incident de sécurité peuvent être insuffisants et peuvent potentiellement entraîner des temps d'arrêt prolongés et des perturbations opérationnelles.

L'illustration suivante montre une architecture unifiée de contrôle du système et de l'organisation (SOC) pour les systèmes informatiques et OT.

Architecture IT/OT SOC unifiée

Assainissements

Journalisation et surveillance de la sécurité

Utilisez les services centralisés AWS Security Hub CSPM et Amazon Security Lake pour capturer et gérer les événements liés à l'IoT, IIo à l'informatique et aux solutions OT connectées au cloud, en combinaison avec le reste de votre organisation. AWS Utilisez des préoccupations, des responsabilités, des ensembles d'autorisations IAM et des attributions de centres d'identité distincts pour identifier les équipes qui peuvent modifier les configurations des ressources des comptes dédiés aux ressources des comptes OT, IIo T et Industrial Isolation. Comptes AWS Tous les événements de sécurité peuvent être envoyés à Security Hub CSPM pour obtenir une vue centralisée des résultats de sécurité dans vos environnements OT, IoT, IIo T, Edge et cloud. Consultez les recommandations de journalisation et de surveillance dans la section du compte Log Archive de la AWS SRA.

Mettez en œuvre un SOC unifié en intégrant les données de sécurité informatique et OT dans Security Lake, ce qui peut fournir une large visibilité sur les environnements informatiques et OT et permettre une détection coordonnée des menaces, une réponse plus rapide aux incidents et un partage immédiat des indicateurs de compromission (IoCs) entre les environnements. Cela permet de mieux comprendre les trajectoires et les origines des menaces dans les environnements IIo OT, IoT, informatique, de périphérie et cloud. La section Solutions SaaS pour les partenaires IoT, IIo T et OT montre comment les solutions de surveillance de la sécurité OT et IIo T proposées par des fournisseurs AWS Partner Network (APN) et d'autres acteurs peuvent être utilisées pour compléter les services de sécurité IoT Edge et cloud fournis par AWS.

Intervention en cas d’incidents

Commencez par identifier les scénarios d'incidents potentiels spécifiques à votre déploiement, tels que la compromission d'un appareil IoT ou d'une passerelle périphérique, les violations de données opérationnelles ou les perturbations des processus industriels. Pour chaque scénario, créez des procédures d'intervention détaillées (playbooks) décrivant les étapes de détection, de confinement, d'éradication et de rétablissement. Ces manuels devraient clairement définir les rôles et les responsabilités, les protocoles de communication et les procédures d'escalade. Testez ces playbooks à l'aide d'exercices sur table. Ces exercices testent les procédures et forment les équipes qui devront les mettre en œuvre sous la pression d'un incident réel en cours.

Mettez en œuvre des contrôles de santé et des systèmes de surveillance continus pour détecter les anomalies avant qu'elles ne dégénèrent en incidents majeurs. Automatisez les actions de réponse initiales dans la mesure du possible afin de contenir rapidement les événements et de remettre les systèmes dans un état connu comme bon. Au fur et à mesure que votre environnement IoT évolue, révisez et mettez à jour régulièrement ces playbooks pour faire face aux nouvelles menaces et intégrer les leçons apprises lors d'incidents ou de simulations antérieurs.

Pour la continuité des activités et la reprise après sinistre, définissez des paramètres clairs pour le comportement du système en cas de panne ou d'interruption. Déterminez si les systèmes doivent être ouverts ou fermés en panne, si la restauration doit être automatique ou nécessiter une intervention humaine, et quelles sont les conditions dans lesquelles les commandes manuelles doivent être activées ou désactivées. Ces décisions doivent être basées sur la criticité des systèmes et leur impact potentiel sur la sécurité, les opérations et l'environnement. Testez vos plans de continuité et de reprise pour vous assurer qu'ils fonctionnent comme prévu dans différents scénarios.