Contenir - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contenir

Réponse aux incidents de sécurité AWS s'associe à vous pour organiser des événements. Vous pouvez configurer un rôle de service Réponse aux incidents de sécurité AWS pour effectuer des actions automatisées et manuelles sur votre compte en réponse aux alertes. Vous pouvez également effectuer le confinement vous-même ou en partenariat avec vos relations avec des tiers en utilisant des documents SSM.

La prise de décision est un élément essentiel du confinement, par exemple s'il faut arrêter un système, isoler une ressource du réseau, désactiver l'accès ou mettre fin à des sessions. Ces décisions sont facilitées lorsqu'il existe des stratégies et des procédures prédéterminées pour contenir l'événement. Réponse aux incidents de sécurité AWS fournit la stratégie de confinement, vous informe de l'impact potentiel et vous guide dans la mise en œuvre de la solution uniquement après avoir pris en compte et accepté les risques encourus.

Réponse aux incidents de sécurité AWS exécute les actions de confinement prises en charge en votre nom afin d'accélérer la réponse et de réduire le temps dont dispose un acteur menaçant pour potentiellement endommager votre environnement. Cette fonctionnalité permet d'atténuer plus rapidement les menaces identifiées, de minimiser l'impact potentiel et d'améliorer votre posture de sécurité globale. Il existe différentes options de confinement en fonction des ressources analysées. Les actions de confinement prises en charge sont les suivantes :

  • EC2 Confinement : l'automatisation du AWSSupport-ContainEC2Instance confinement effectue un confinement réseau réversible d'une instance, en laissant l' EC2 instance intacte et en cours d'exécution, mais en l'isolant de toute nouvelle activité réseau et en l'empêchant de communiquer avec les ressources à l'intérieur et à l'extérieur de votre VPC.

    Important

    Il est important de noter que les connexions suivies existantes ne seront pas interrompues suite à un changement de groupe de sécurité. Seul le trafic futur sera effectivement bloqué par le nouveau groupe de sécurité et ce document SSM. De plus amples informations sont disponibles dans la section sur le confinement des sources du guide technique du service.

  • Confinement IAM : l'automatisation du AWSSupport-ContainIAMPrincipal confinement assure un confinement réseau réversible d'un utilisateur ou d'un rôle IAM, en laissant l'utilisateur ou le rôle dans IAM, mais en l'empêchant de communiquer avec les ressources de votre compte.

  • Confinement S3 : l'automatisation du AWSSupport-ContainS3Resource confinement effectue un confinement réversible d'un compartiment S3, en laissant les objets dans le compartiment et en isolant le compartiment ou l'objet Amazon S3 en modifiant ses politiques d'accès.

Important

Réponse aux incidents de sécurité AWS n'active pas les fonctionnalités de confinement par défaut. Pour exécuter ces actions de confinement, vous devez d'abord accorder les autorisations nécessaires au service à l'aide de rôles. Vous pouvez créer ces rôles individuellement par compte ou dans l'ensemble de votre organisation en utilisant des AWS CloudFormation stacksets, qui créent les rôles requis.

Réponse aux incidents de sécurité AWS vous encourage à envisager des stratégies d'endiguement pour chaque type d'événement majeur qui correspondent à votre propension au risque. Documentez des critères clairs pour faciliter la prise de décision lors d'un événement. Les critères à prendre en compte sont les suivants :

  • Dommages potentiels aux ressources

  • Préservation des preuves et exigences réglementaires

  • Indisponibilité du service (par exemple, connectivité réseau, services fournis à des tiers externes)

  • Temps et ressources nécessaires à la mise en œuvre de la stratégie

  • Efficacité de la stratégie (par exemple, confinement partiel ou total)

  • Permanence de la solution (par exemple, réversible ou irréversible)

  • Durée de la solution (par exemple, solution d'urgence, solution temporaire, solution permanente) Appliquez des contrôles de sécurité qui peuvent réduire les risques et laisser le temps de définir et de mettre en œuvre une stratégie de confinement plus efficace.

Réponse aux incidents de sécurité AWS conseille une approche par étapes pour parvenir à un confinement efficient et efficace, impliquant des stratégies à court et à long terme basées sur le type de ressource.

  • Stratégie de confinement

    • Est-il possible Réponse aux incidents de sécurité AWS d'identifier l'étendue de l'événement de sécurité ?

      • Dans l'affirmative, identifiez toutes les ressources (utilisateurs, systèmes, ressources).

      • Si ce n'est pas le cas, étudiez en parallèle avec l'exécution de l'étape suivante sur les ressources identifiées.

    • La ressource peut-elle être isolée ?

      • Si c'est le cas, isolez les ressources affectées.

      • Si ce n'est pas le cas, collaborez avec les propriétaires et les gestionnaires du système pour déterminer les mesures supplémentaires nécessaires pour contenir le problème.

    • Toutes les ressources affectées sont-elles isolées des ressources non touchées ?

      • Si c'est le cas, passez à l'étape suivante.

      • Si ce n'est pas le cas, continuez à isoler les ressources affectées afin de les endiguer à court terme et d'empêcher que l'événement ne s'aggrave davantage.

  • Sauvegarde du système

    • Des copies de sauvegarde des systèmes concernés ont-elles été créées pour une analyse plus approfondie ?

    • Les copies médico-légales sont-elles cryptées et stockées dans un endroit sûr ?

      • Si c'est le cas, passez à l'étape suivante.

      • Si ce n'est pas le cas, chiffrez les images médico-légales, puis stockez-les dans un endroit sûr pour éviter toute utilisation accidentelle, tout dommage ou toute altération.