SEC10-BP07 Organiser des jeux de rôle

les simulations ou exercices sont des événements internes qui permettent de mettre en pratique de manière structurée vos plans et procédures de gestion des incidents au cours d'un scénario réaliste. Ces événements doivent entraîner les intervenants à utiliser les mêmes outils et techniques que ceux qui seraient utilisés dans un scénario réel, et même à imiter des environnements réels. Ces simulations consistent principalement en la préparation et en l'amélioration itérative de vos capacités de réponse. Voici quelques-unes des raisons pour lesquelles des activités de simulation peuvent s'avérer utiles :

Validation de l'état de préparation
Développer la confiance : apprendre grâce aux simulations et à la formation du personnel
Respect des obligations contractuelles ou de conformité
Génération d'artefacts pour l'accréditation
Être agile : amélioration incrémentielle
Être plus rapide et améliorer les outils
Affiner la communication et les remontées
Savoir faire face sereinement aux scénarios extraordinaires et inattendus

Pour ces raisons, la valeur tirée de la participation à une activité de simulation augmente l'efficacité d'une organisation lors d'événements stressants. Il peut s'avérer difficile de développer une activité de simulation à la fois réaliste et bénéfique. Bien que les tests de vos procédures ou l'automatisation qui gère des événements déjà connus présentent certains avantages, il est tout aussi important de participer à des activités créatives de simulation de la gestion des incidents de sécurité pour déterminer où vous vous situez par rapport à des événements inattendus et pour renforcer vos compétences en permanence.

Créez des simulations personnalisées adaptées à votre environnement, votre équipe et vos outils. Identifiez un problème et concevez votre simulation autour de celui-ci. Il peut s'agit d'une fuite d'informations d'identification, d'un serveur communiquant avec des systèmes indésirables ou d'une mauvaise configuration qui entraîne une exposition non autorisée. Identifiez les ingénieurs qui connaissent votre organisation pour créer le scénario et un autre groupe pour y participer. Pour être utile, le scénario doit être suffisamment réaliste et stimulant. Il doit permettre de se familiariser avec la journalisation, les notifications, les remontées d'informations et l'exécution de runbooks ou l'automatisation. Pendant la simulation, les intervenants doivent exercer leurs compétences techniques et organisationnelles, tandis que les dirigeants doivent être impliqués pour développer leurs compétences en gestion des incidents. À la fin de la simulation, célébrez les efforts de l'équipe et cherchez des moyens d'itérer, de répéter et de développer d'autres simulations.

AWS a créé des modèles de runbooks de gestion des incidents que vous pouvez utiliser non seulement pour préparer vos actions correctives, mais aussi comme base pour une simulation. Lors de la planification, une simulation peut être divisée en cinq phases.

Collecte des preuves : Au cours de cette phase, une équipe reçoit des alertes par divers moyens, tels qu'un système interne de demandes d'assistance, des alertes provenant d'outils de surveillance, des conseils anonymes, voire des informations publiques. Les équipes se mettent ensuite à examiner les journaux d'infrastructure et d'application pour déterminer la source de la compromission. Cette étape devrait également impliquer les équipes internes de remontées d'informations et les responsables de la gestion des incidents. Une fois la source de la compromission identifiée, les équipes passent à la maîtrise de l'incident.

Maîtrise de l'incident : Les équipes ont déterminé l'existence d'un incident et ont établi la source de la compromission. Elles doivent maintenant prendre des mesures nécessaires pour le contenir, par exemple en désactivant les informations d'identification compromises, en isolant une ressource de calcul ou en révoquant l'autorisation d'un rôle.

Éradication de l'incident : Maintenant qu'elles ont maîtrisé l'incident, les équipes s'efforceront d'atténuer les vulnérabilités des applications ou des configurations d'infrastructure susceptibles d'être compromises. Cela peut inclure la rotation de toutes les informations d'identification utilisées pour une charge de travail, la modification des listes de contrôle d'accès (ACL) ou la modification des configurations réseau.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Moyenne entreprise

Directives d'implémentation

Exécuter tests de simulation de pannes : organisez des événements simulés de réponse face aux incidents (jeux de rôle) pour différentes menaces qui impliquent des membres clés du personnel et la direction.
Capturer les leçons apprises : les leçons tirées des tests de simulation de pannes doivent faire partie d'une boucle de rétroaction pour améliorer vos processus.

Ressources

Documents connexes :

Vidéos connexes :

Mode d'emploi pour les runbooks, les rapports d'incidents et les réponses aux incidents

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC10-BP06 Prédéployer les outils

Fiabilité