Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contenir
L'approche d'AMS en matière de confinement repose sur un partenariat avec vous. Vous comprenez votre activité et les impacts sur la charge de travail qui peuvent découler des activités de confinement, telles que l'isolation du réseau, le déprovisionnement des utilisateurs ou des rôles IAM, la reconstruction d'instances, etc.
La prise de décision est un élément essentiel de l'endiguement. Par exemple, arrêtez un système, isolez une ressource du réseau, désactivez l'accès ou mettez fin à des sessions. Ces décisions sont plus faciles à prendre s'il existe des stratégies et des procédures prédéterminées pour contenir l'incident. AMS fournit la stratégie de confinement, puis met en œuvre la solution après avoir pris en compte le risque lié à la mise en œuvre des actions de confinement.
Il existe différentes options de confinement en fonction des ressources analysées. AMS s'attend à ce que plusieurs types de confinement soient déployés simultanément lors d'une enquête sur un incident. Certains de ces exemples incluent :
Appliquez des règles de protection pour bloquer le trafic non autorisé (groupe de sécurité, NACL, règles WAF, règles SCP, refus de la liste, définition de l'action de signature en quarantaine ou en blocage)
Isolation des ressources
Isolement du réseau
Désactivation des utilisateurs, des rôles et des politiques IAM
Modification/réduction de l'utilisateur IAM, du privilège de rôle
Terminer, suspendre ou supprimer des ressources de calcul
Restreindre l'accès public à la ressource affectée
Rotation des clés d'accès, des clés API et des mots de passe
-
Effacement des informations d'identification divulguées et des informations sensibles
AMS vous encourage à envisager le type de stratégies de confinement pour chaque type d'incident majeur qui correspond à leur propension au risque, avec des critères clairement documentés pour faciliter la prise de décision en cas d'incident. Les critères permettant de déterminer la stratégie appropriée sont notamment les suivants :
Dommages potentiels aux ressources
Préservation des preuves
Indisponibilité du service (par exemple, connectivité réseau, services fournis à des tiers externes)
Temps et ressources nécessaires à la mise en œuvre de la stratégie
Efficacité de la stratégie (par exemple, confinement partiel, confinement complet)
Permanence de la solution (par exemple, décisions relatives à une porte à sens unique ou à une porte bidirectionnelle)
Durée de la solution (par exemple, solution d'urgence à supprimer dans quatre heures, solution temporaire à supprimer dans deux semaines, solution permanente).
Appliquez des contrôles de sécurité que vous pouvez activer afin de réduire les risques et de disposer du temps nécessaire pour définir et mettre en œuvre un confinement plus efficace.
La rapidité du confinement étant essentielle, AMS conseille une approche par étapes pour parvenir à un confinement efficient et efficace en élaborant des stratégies à court et à long terme.
Utilisez ce guide pour réfléchir à votre stratégie de confinement qui implique différentes techniques en fonction du type de ressource.
Stratégie de confinement
AMS peut-il identifier l'ampleur de l'incident de sécurité ?
Dans l'affirmative, identifiez toutes les ressources (utilisateurs, systèmes, ressources).
Si ce n'est pas le cas, étudiez en parallèle avec l'exécution de l'étape suivante sur les ressources identifiées.
La ressource peut-elle être isolée ?
Si c'est le cas, isolez les ressources affectées.
Si ce n'est pas le cas, travaillez avec les propriétaires et les gestionnaires du système pour déterminer les mesures supplémentaires nécessaires pour contenir le problème.
Toutes les ressources affectées sont-elles isolées des ressources non touchées ?
Dans l'affirmative, passez à l'étape suivante.
Si ce n'est pas le cas, continuez à isoler les ressources affectées jusqu'à ce que le confinement à court terme soit réalisé afin d'éviter que l'incident ne s'aggrave davantage.
Sauvegarde du système
Des copies de sauvegarde des systèmes concernés ont-elles été créées pour une analyse plus approfondie ?
Les copies médico-légales sont-elles cryptées et stockées dans un endroit sûr ?
Dans l'affirmative, passez à l'étape suivante.
Si ce n'est pas le cas, chiffrez les images médico-légales, puis stockez-les dans un endroit sûr pour éviter toute utilisation accidentelle, tout dommage ou toute altération.
