Récupération - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Récupération

La restauration est le processus qui consiste à restaurer les systèmes dans un état sûr connu, à valider que les sauvegardes sont sûres ou non affectées par l'incident avant la restauration, à tester pour vérifier que les systèmes fonctionnent correctement après la restauration et à corriger les vulnérabilités associées à l'événement de sécurité.

L'ordre de reprise dépend des exigences de votre organisation. Dans le cadre du processus de reprise, vous devez effectuer une analyse de l'impact commercial afin de déterminer, au minimum :

  • Priorités commerciales ou de dépendance

  • Le plan de restauration

  • Authentification et autorisation

Le guide de gestion des incidents de sécurité informatique SP 800-61 du NIST fournit plusieurs étapes pour restaurer les systèmes, notamment :

  • Restauration des systèmes à partir de sauvegardes propres.

    • Vérifiez que les sauvegardes sont évaluées avant de les restaurer sur les systèmes afin de vous assurer de l'absence d'infection et d'empêcher la résurgence de l'événement de sécurité.

      Les sauvegardes doivent être évaluées régulièrement dans le cadre des tests de reprise après sinistre afin de vérifier que le mécanisme de sauvegarde fonctionne correctement et que l'intégrité des données répond aux objectifs du point de reprise.

    • Si possible, utilisez des sauvegardes antérieures à l'horodatage du premier événement identifié dans le cadre de l'analyse des causes premières.

  • Reconstruire les systèmes à partir de zéro, y compris le redéploiement à partir d'une source fiable à l'aide de l'automatisation, parfois dans un nouveau AWS compte.

  • Remplacement des fichiers compromis par des versions propres.

    Vous devez faire preuve d'une grande prudence en procédant ainsi. Vous devez être absolument certain que le fichier que vous êtes en train de récupérer est connu, sûr et qu'il n'est pas affecté par l'incident.

  • Installation de correctifs.

  • Modification des mots de passe.

    • Cela inclut les mots de passe des principaux IAM susceptibles d'avoir été utilisés de manière abusive.

    • Dans la mesure du possible, nous recommandons d'utiliser des rôles pour les principaux IAM et la fédération dans le cadre d'une stratégie de moindre privilège.

  • Renforcement de la sécurité du périmètre du réseau (ensembles de règles de pare-feu, listes de contrôle d'accès aux routeurs périphériques).

Une fois les ressources récupérées, il est important de tirer les leçons apprises afin de mettre à jour les politiques, les procédures et les guides de réponse aux incidents.

En résumé, il est impératif de mettre en œuvre un processus de rétablissement qui facilite le retour à des opérations sûres connues. Le rétablissement peut prendre du temps et nécessite un lien étroit avec les stratégies de confinement afin de trouver un équilibre entre l'impact commercial et le risque de réinfection. Les procédures de recouvrement doivent inclure des étapes pour restaurer les ressources et les services, les principes IAM et effectuer un examen de sécurité du compte afin d'évaluer le risque résiduel.