Éradication - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Éradication

L'éradication, en relation avec la réponse aux incidents de sécurité, consiste à supprimer les ressources suspectes ou non autorisées dans le but de rétablir le compte dans un état sûr connu. La stratégie d'éradication dépend de plusieurs facteurs, qui dépendent des exigences commerciales de votre organisation.

Le guide de gestion des incidents de sécurité informatique SP 800-61 du NIST propose plusieurs étapes pour les éradiquer :

  1. Identifiez et atténuez toutes les vulnérabilités qui ont été exploitées.

  2. Supprimez les logiciels malveillants, les contenus inappropriés et les autres composants.

  3. Si d'autres hôtes affectés sont découverts (par exemple, de nouvelles infections par des logiciels malveillants), répétez les étapes de détection et d'analyse pour identifier tous les autres hôtes concernés, puis contenir et éradiquer l'incident pour eux.

En ce qui concerne les AWS ressources, cela peut être affiné grâce aux événements détectés et analysés par le biais des journaux disponibles ou d'outils automatisés tels que CloudWatch Logs et Amazon GuardDuty. Ces événements devraient servir de base pour déterminer les mesures correctives à effectuer pour rétablir correctement l'environnement dans un état sûr connu.

La première étape de l'éradication consiste à déterminer quelles ressources ont été affectées au sein du AWS compte. Cela se fait grâce à l'analyse de vos sources de données de journal disponibles, de vos ressources et de vos outils automatisés.

  • Identifiez les actions non autorisées effectuées par les identités IAM de votre compte.

  • Identifiez les accès non autorisés ou les modifications apportées à votre compte.

  • Identifiez la création de ressources ou d'utilisateurs IAM non autorisés.

  • Identifiez les systèmes ou les ressources dont les modifications ne sont pas autorisées.

Une fois la liste des ressources identifiée, vous devez évaluer chacune d'elles afin de déterminer l'impact commercial de la suppression ou de la restauration de la ressource. Par exemple, si un serveur Web héberge votre application professionnelle et que sa suppression entraîne une interruption de service, vous devez envisager de récupérer la ressource à partir de sauvegardes sécurisées vérifiées ou de relancer le système à partir d'une AMI propre avant de supprimer le serveur concerné.

Une fois que vous avez terminé votre analyse d'impact commercial, vous devez, à l'aide des événements de votre analyse des journaux, accéder aux comptes et effectuer les mesures correctives appropriées, telles que :

  • Faire pivoter ou supprimer les touches : cette étape empêche l'acteur de continuer à effectuer des activités dans le compte.

  • Alternez les informations d'identification des utilisateurs IAM potentiellement non autorisés.

  • Supprimez les ressources non reconnues ou non autorisées.

    Important

    Si vous devez conserver des ressources pour votre enquête, pensez à les sauvegarder. Par exemple, si vous devez conserver une EC2 instance Amazon pour des raisons légales, réglementaires ou de conformité, créez un instantané Amazon EBS avant de supprimer l'instance.

  • Pour les infections par des logiciels malveillants, vous devrez peut-être contacter l'un AWS Partner ou l'autre fournisseur. AWS ne propose pas d'outils natifs pour l'analyse ou la suppression des malwares. Toutefois, si vous utilisez le module GuardDuty Malware pour Amazon EBS, des recommandations peuvent être disponibles pour les résultats fournis.

Une fois que vous avez éradiqué les ressources affectées identifiées, il vous AWS recommande de procéder à un examen de sécurité de votre compte. Cela peut être fait en utilisant des AWS Config règles, en utilisant des solutions open source telles que Prowler et/ou par le biais d' ScoutSuiteautres fournisseurs. Vous devriez également envisager d'effectuer des analyses de vulnérabilité sur vos ressources accessibles au public (Internet) afin d'évaluer le risque résiduel.

L'éradication est l'une des étapes du processus de réponse aux incidents et peut être manuelle ou automatisée, en fonction de l'incident et des ressources concernées. La stratégie globale doit être alignée sur les politiques de sécurité et les besoins commerciaux de l'entreprise, et vérifier que les effets négatifs sont atténués lorsque des ressources ou des configurations inappropriées sont supprimées.