SEC 10: Comment anticipez-vous les incidents, y répondez et y parvenez-vous ?

La préparation est essentielle pour une enquête rapide et efficace, une réponse et une reprise en cas d'incidents de sécurité, afin de minimiser les perturbations pour votre organisation.

Ressources

Prepare for and respond to security incidents in your AWS environment
Automating Incident Response and Forensics in AWS
DIY guide to runbooks, incident reports, and incident response
CloudEndure Disaster Recovery
AWS Incident Response Guide
Lab: Incident Response Playbook with Jupyter - AWS IAM
Lab: Incident Response with AWS Console and CLI

Bonnes pratiques:

• Identifier les postes clés ainsi que les principales ressources externes: Identifiez les postes clés internes et externes, les ressources et les obligations légales qui aideront votre organisation à réagir en cas d'incident.

• Développer des plans de gestion des incidents: Créez des plans pour vous aider à réagir, à communiquer pendant un incident et rétablir les opérations. À titre d'exemple, vous pouvez lancer un plan d'intervention en cas d'incident avec les scénarios les plus probables pour votre charge de travail et votre organisation. Incluez la façon dont vous devez communiquer et transmettre les situations aux paliers supérieurs en interne et en externe.

• Préparer les capacités de mener des enquêtes pointues: Identifiez et préparez les capacités de mener des enquêtes pointues qui conviennent, y compris les spécialistes externes, les outils et l'automatisation.

• Automatiser la capacité de confinement: Automatisez le confinement d'un incident et la reprise pour réduire les temps de réponse et l'impact sur votre organisation.

• Préallouer l'accès: Assurez-vous que les intervenants en cas d'incident disposent du bon accès préalablement alloué dans AWS afin de réduire le temps d'investigation jusqu'à la reprise.

• Prédéployer les outils: Assurez-vous que le personnel de sécurité dispose des outils appropriés préalablement déployés dans AWS afin d'accélérer les investigations jusqu'à la reprise.

• Organiser des jeux de rôle: Organisez régulièrement des sessions de réponse aux incidents (simulations). Intégrez les leçons tirées à vos plans de gestion des incidents et améliorez continuellement les réponses et les plans.

Plan d'amélioration

Identifier les postes clés ainsi que les principales ressources externes

Identifier les postes clés de votre organisation: Tenez à jour une liste des employés au sein de votre organisation que vous devez impliquer pour réagir et récupérer après un incident.

Identifier les partenaires externes: Collaborez le cas échéant avec des partenaires externes qui pourront vous aider à réagir et à reprendre après un incident.

Développer des plans de gestion des incidents

Vérifier les ressources disponibles: AWS et les ressources du secteur sont à votre disposition.
AWS Security Incident Response Guide
NIST: Computer Security Incident Handling Guide

Développer des manuels de réponse aux incidents: Des manuels faciles à suivre doivent présenter de façon détaillée les étapes à prendre pour répondre et reprendre après un incident.

Développer des plans de transmission aux paliers supérieurs et de communication: L'escalade et les plans de communication doivent inclure le personnel de votre organisation, ainsi que les parties externes que vous devez informer à chaque étape au cours d'un incident.

Développer le plan de relations publiques externes: Développez un plan de relations publiques pour communiquer sur un incident.

Préparer les capacités de mener des enquêtes pointues

Identifier les capacités de mener des enquêtes pointues: Recherchez les capacités de mener des enquêtes pointues de votre organisation, les outils disponibles et les spécialistes externes.
Automating Incident Response and Forensics

Automatiser la capacité de confinement

Automatiser la capacité de confinement

Préallouer l'accès

Préallouer l'accès: Assurez-vous que le bon niveau d'accès a été préalablement alloué au personnel de sécurité dans AWS afin que les mesures appropriées puissent être prises en cas d'incident.

Prédéployer les outils

Prédéployer les outils: Assurez-vous que les bons outils ont été préalablement déployés pour le personnel de sécurité dans AWS afin que les mesures appropriées puissent être prises en cas d'incident.
Lab: Incident response with AWS Management Console and CLI
Incident Response Playbook with Jupyter - AWS IAM
AWS Security Automation

Implémenter le balisage des ressources: Balisez les ressources avec des informations comme un code pour la ressource en cours d'enquête afin que vous puissiez identifier les ressources pendant un incident.
AWS Tagging Strategies

Organiser des jeux de rôle

Organiser des jeux de rôle: Mettez en place des simulations de réponse aux incidents (jeux de rôle) pour différentes menaces nécessitant l’intervention de personnes clés et une gestion critique.

Capturer les leçons apprises: Les leçons tirées des journées de jeu de rôle doivent faire partie d'un processus d'observation pour améliorer vos processus.