SEC04-BP04 Lancer la correction pour les ressources non conformes

Vos contrôles de détection peuvent signaler la présence de ressources non conformes à vos exigences de configuration. Vous pouvez lancer des mesures correctives définies par programme, manuellement ou automatiquement, afin de corriger ces ressources et de minimiser les impacts potentiels. Lorsque vous définissez des mesures correctives par programmation, vous pouvez agir rapidement et avec cohérence.

Bien que l’automatisation puisse améliorer les opérations de sécurité, vous devez la mettre en œuvre et la gérer avec soin.  Mettez en place des mécanismes de supervision et de contrôle appropriés pour vérifier que les réponses automatisées sont efficaces, précises et conformes aux politiques organisationnelles et à la propension au risque.

Résultat souhaité : vous définissez les normes de configuration des ressources, ainsi que les étapes à suivre pour y remédier lorsque des ressources sont détectées comme étant non conformes. Dans la mesure du possible, vous avez défini les mesures correctives par programmation afin qu’elles puissent être lancées manuellement ou automatiquement. Des systèmes de détection sont en place pour identifier les ressources non conformes et publier des alertes dans des outils centralisés surveillés par votre personnel de sécurité. Ces outils vous permettent d’exécuter vos corrections programmatiques, manuellement ou automatiquement. Les mesures correctives automatiques sont dotées de mécanismes de supervision et de contrôle appropriés pour régir leur utilisation.

Anti-modèles courants :

• Vous mettez en œuvre l’automatisation, mais vous ne parvenez pas à tester ni à valider de manière approfondie les mesures correctives. Cela peut avoir des conséquences imprévues, telles que la perturbation des opérations commerciales légitimes ou l’instabilité du système.

• Vous améliorez les temps de réponse et les procédures grâce à l’automatisation, mais sans surveillance appropriée et sans mécanismes permettant une intervention et un discernement humains en cas de besoin.

• Vous vous fiez uniquement aux mesures correctives, au lieu de les intégrer dans le cadre d’un programme plus large de réponse aux incidents et de reprise.

Avantages de la mise en place de cette bonne pratique : les mesures correctives automatiques peuvent répondre aux erreurs de configuration plus rapidement que les processus manuels, ce qui vous aide à minimiser les impacts potentiels sur l’entreprise et à réduire les opportunités d’utilisations involontaires. Lorsque vous définissez des mesures correctives par programmation, elles sont appliquées de manière cohérente, ce qui réduit le risque d’erreur humaine. L’automatisation peut également gérer simultanément un plus grand volume d’alertes, ce qui est particulièrement important dans les environnements fonctionnant à grande échelle.  

Niveau d’exposition au risque si cette bonne pratique n’est pas établie : moyen

Directives d’implémentation

Comme décrit dans SEC01-BP03 Identifier et valider les objectifs de contrôle, des services tels qu’AWS Config peuvent vous aider à surveiller la configuration des ressources de vos comptes pour vérifier qu’elles répondent à vos besoins.  Lorsque des ressources non conformes sont détectées, nous vous recommandons de configurer l’envoi d’alertes à une solution de gestion de la posture de sécurité dans le cloud (CSPM), par exemple AWS Security Hub, afin de faciliter la correction. Ces solutions fournissent à vos enquêteurs de sécurité un emplacement central qui leur permet de surveiller les problèmes et de prendre des mesures correctives.

Alors que certaines situations de ressources non conformes sont uniques et requièrent un discernement humain pour être résolues, d’autres situations ont besoin d’une réponse standard que vous pouvez définir par programmation. Par exemple, une solution standard à un problème de configuration du groupe de sécurité VPC peut consister à supprimer les règles d’interdiction et à en informer le propriétaire. Les réponses peuvent être définies dans des fonctions AWS Lambda, des documents AWS Systems Manager Automation ou via d’autres environnements de code de votre choix. Assurez-vous que l’environnement est capable de s’authentifier auprès d’AWS à l’aide d’un rôle IAM avec le moins d’autorisations nécessaires pour prendre des mesures correctives.

Une fois que vous avez défini la correction souhaitée, vous pouvez déterminer la méthode que vous préférez pour la lancer. AWS Config peut lancer des mesures correctives pour vous. Si vous utilisez Security Hub, vous pouvez réaliser cette opération via des actions personnalisées, ce qui permet de publier les informations sur les résultats dans Amazon EventBridge. Une règle EventBridge peut ensuite lancer votre correction. Vous pouvez configurer l’action personnalisée dans Security Hub de façon à ce qu’elle soit exécutée automatiquement ou manuellement.  

Pour la correction programmatique, nous vous recommandons de disposer de journaux et d’audits complets concernant les actions entreprises, ainsi que leurs résultats. Passez en revue et analysez ces journaux pour évaluer l’efficacité des processus automatisés et identifier les domaines à améliorer. Enregistrez les journaux dans Amazon CloudWatch Logs et les résultats des mesures correctives sous forme de notes de résultats dans Security Hub.

Pour commencer, pensez à Automated Security Response sur AWS, qui propose des correctifs prédéfinis permettant de résoudre les erreurs de configuration de sécurité courantes.

Étapes d’implémentation

1. Analysez et hiérarchisez les alertes.

   1. Regroupez les alertes de sécurité provenant de différents services AWS dans Security Hub pour centraliser la visibilité, la hiérarchisation et les mesures correctives.

2. Élaborez des mesures correctives.

   1. Utilisez des services tels que Systems Manager et AWS Lambda pour exécuter des corrections programmatiques.

3. Configurez la façon dont les mesures correctives sont lancées.

   1. À l’aide de Systems Manager, définissez des actions personnalisées qui publient les résultats dans EventBridge. Configurez ces actions de façon à ce qu’elles soient lancées manuellement ou automatiquement.

   2. Vous pouvez également utiliser Amazon Simple Notification Service (SNS) pour envoyer des notifications et des alertes aux parties prenantes concernées (comme l’équipe de sécurité ou les équipes de réponse aux incidents) en vue d’une intervention manuelle ou d’une remontée, si nécessaire.

4. Passez en revue et analysez les journaux de correction afin d’en vérifier l’efficacité et de les améliorer.

   1. Envoyez la sortie des journaux à CloudWatch Logs. Enregistrez les résultats sous forme de notes de résultats dans Security Hub.

Ressources

Bonnes pratiques associées :

• SEC06-BP03 Réduire la gestion manuelle et l’accès interactif

Documents connexes :

• AWS Security Incident Response Guide - Detection

Exemples connexes :

• Automated Security Response sur AWS

• Monitor EC2 instance key pairs using AWS Config

• Create AWS Config custom rules by using AWS CloudFormation Guard policies

• Automatically remediate unencrypted Amazon RDS DB instances and clusters

Outils associés :

• AWS Systems Manager Automation

• Automated Security Response sur AWS