Objectifs de conception de la réponse cloud

Réponse aux incidents dans le cloud

Objectifs de conception de la réponse cloud

Bien que les processus et mécanismes généraux de réponse aux incidents, tels que ceux définis dans le document NIST SP 800-61 Computer Security Incident Handling Guide, restent valables, nous vous encourageons à prendre en compte ces objectifs de conception spécifiques qui sont pertinents pour répondre aux incidents de sécurité dans un environnement cloud :

Définir des objectifs de réponse : collaborez avec les parties prenantes, vos conseillers juridiques et les responsables de votre organisation pour déterminer l'objectif de la réponse à un incident. Parmi les objectifs courants figurent la limitation et l'atténuation du problème, la récupération des ressources affectées, la conservation des données pour l'analyse et l'attribution.
Répondre à l'aide du cloud : implémentez vos modèles de réponse où se trouvent l'événement et les données.
Savoir ce dont vous disposez et ce dont vous avez besoin : conservez les journaux, les instantanés et les autres preuves en les copiant vers un compte cloud de sécurité centralisé. Utilisez des balises, des métadonnées et des mécanismes qui appliquent des stratégies de conservation. Par exemple, vous pouvez choisir d'utiliser la commande Linux dd ou un équivalent Windows pour copier la totalité des données à des fins d'investigation.
Utiliser des mécanismes de redéploiement : si une anomalie de sécurité peut être attribuée à une mauvaise configuration, la correction peut se limiter à supprimer l'anomalie en redéployant les ressources avec la configuration appropriée. Dans la mesure du possible, faites en sorte que vos mécanismes de réponse puissent être exécutés en toute sécurité plusieurs fois et sur des états inconnus.
Automatiser autant que possible : lorsque des problèmes ou des incidents se répètent, mettez en place des mécanismes qui permettent de trier par programme et de répondre aux situations courantes. Les incidents uniques, nouveaux et sensibles doivent être traités par des humains.
Choisir des solutions évolutives : essayez d'adapter l'approche de votre organisation en matière de cloud computing et de réduire le délai entre la détection et la réponse.
Apprendre et améliorer votre processus : lorsque vous identifiez des lacunes dans votre processus, vos outils ou votre personnel, comblez-les. Les simulations sont des méthodes sûres pour identifier les lacunes et améliorer les processus.

Les objectifs de conception NIST vous rappellent que vous devez passer en revue l'architecture afin de déterminer la capacité à procéder à la fois à la réponse aux incidents et à la détection des menaces. Lorsque vous planifiez votre implémentation du cloud, pensez à répondre à un incident ou à un événement d'analyse. Dans certains cas, cela signifie que plusieurs organisations, comptes et outils peuvent être spécifiquement configurés pour ces tâches de réponse. Ces outils et fonctions devraient être mis à la disposition du gestionnaire d'incident par pipeline de déploiement et ne doivent pas être statiques, car cela entraînerait un risque plus important.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Responsabilité partagée

Incidents de sécurité cloud