View a markdown version of this page

Risque inconnu - Guide de réponse aux incidents de sécurité AWS

Risque inconnu

Si vous vous êtes concentré sur la personnalisation des alertes, l'amélioration de vos procédures de réponse aux incidents grâce à l'automatisation et l'amélioration de vos défenses de sécurité, vous vous demandez peut-être ce que vous devez faire ensuite. Vous êtes peut-être curieux de connaître les risques inconnus, représentés dans la catégorie Inconnu de la Figure 3. Les méthodes suivantes peuvent vous aider à réduire les risques inconnus :

  • Définir les affirmations de sécurité : quelles sont les vérités que vous pouvez affirmer ? Quelles sont les primitives de sécurité qui devraient absolument être vraies dans votre environnement ? En les définissant clairement, vous pouvez rechercher l'inverse. Cela est plus facile à faire dès le début de votre transition vers le cloud, plutôt que d'essayer de faire machine arrière sur vos affirmations de sécurité ultérieurement.

  • Formation, communication et recherche : intégrez des experts en sécurité dans le cloud à votre personnel ou faites appel à des partenaires experts pour vous aider à examiner minutieusement votre environnement. Remettez en question vos hypothèses et méfiez-vous des raisonnements subtils. Créez des boucles de rétroaction dans vos processus et proposez des mécanismes permettant à vos équipes d'ingénierie de communiquer avec les équipes de sécurité. Vous pouvez également développer votre approche pour surveiller les listes de diffusion de sécurité pertinentes et les divulgations de sécurité des informations.

  • Réduction de la surface d'attaque : améliorez votre défense pour éviter les risques et vous donner plus de temps pour contrer les attaques inconnues. Bloquez et ralentissez les personnes malveillantes, et amenez-les à la faute.

  • Détection des menaces : abonnez-vous à un flux continu de menaces, de risques et d'indicateurs actuels et pertinents du monde entier.

  • Alertes : générez des notifications qui vous alertent en cas d'activités inhabituelles, malveillantes ou coûteuses. Par exemple, vous pouvez créer une notification pour vous alerter en cas d'activités qui se produisent dans des régions ou des services que vous n'utilisez pas.

  • Machine learning : utilisez le machine learning pour identifier des anomalies complexes pour une organisation ou des personas spécifiques. Pour vous aider à identifier les comportements inhabituels, vous pouvez également profiler les caractéristiques normales de vos réseaux, utilisateurs et systèmes.

Les renseignements sur les menaces deviennent le principal sujet lorsque vous examinez les angles morts et les inconnues non connues. La fenêtre Johari montre comment classer ce que vous savez et ce que vous ne savez pas, mais la détection des menaces montre comment tenir compte de ce que vous ne savez pas encore. La détection des menaces est une discipline qui aide les entreprises à voir au-delà du modèle de menace, pour identifier des menaces dont votre entreprise ne connaît peut-être pas encore l'existence.

En général, la détection des menaces implique les actions suivantes :

  1. Recherche de nouvelles menaces

  2. Définition de nouveaux modèles

  3. Définition de nouvelles techniques d'acquisitions automatisées

  4. Répétition de ces processus

Bien que ce type de pratique puisse être utile, le fonctionnement et la maintenance d'une équipe de détection des menaces peuvent surcharger de nombreuses entreprises, même de grandes entreprises. En fin de compte, la question est de réussir à faire correspondre votre modèle de menace, votre taille et l'adversité des risques. Prenez en compte ces questions :

  • Votre modèle de menace est-il suffisamment différent du secteur standard dans lequel se trouve l'entreprise ?

  • Votre goût du risque est-il suffisamment faible pour qu'une telle équipe soit nécessaire ?

  • Est-il judicieux sur le plan financier de mettre en place une équipe pour votre entreprise ?

  • Votre profil de risque est-il suffisamment intéressant pour rallier les talents adaptés à votre cause ?

Si vous répondez Non à l'une de ces questions, vous devriez probablement rechercher un partenaire de détection des menaces. De nombreuses grandes entreprises renommées proposent ce service.

AWS vous fournit les outils et les services qui permettent de gérer vous-même ces problèmes. L'utilisation du machine learning pour identifier les modèles malveillants est un domaine d'étude bien documenté, avec des modèles implémentés par les clients, AWS Professional Services, les partenaires APN et par le biais de services AWS tels qu'Amazon GuardDuty et Amazon Macie. Certains de ces modèles ont été abordés lors des sessions de conférence AWS re:Invent. Pour de plus amples informations, veuillez consulte la section Médias de ce livre blanc.

Les clients étendent également leurs lacs de données traditionnellement centrés sur l'entreprise afin de tirer parti de modèles d'architecture similaires lorsqu'ils développent des lacs de données de sécurité. Les équipes chargées des opérations de sécurité étendent également leur utilisation des outils de journalisation et de surveillance traditionnels, tels que Amazon OpenSearch Service et les tableaux de bord OpenSearch, aux architectures big data.

Ces clients collectent des données internes à partir de journaux d'événements AWS CloudTrail, de journaux de flux VPC, de journaux d'accès Amazon CloudFront, de journaux de base de données et de journaux d'applications, puis combinent ces données avec des données publiques et la détection des menaces. Grâce à ces précieuses données, les clients ont développé leurs compétences en science des données et en ingénierie des données au sein de leurs équipes chargées des opérations de sécurité afin de tirer parti d'outils tels qu'Amazon EMR, Amazon Kinesis Data Analytics, Amazon Redshift, Amazon QuickSight, AWS Glue, Amazon SageMaker et Apache MXNet sur AWS. Cela leur permet de créer des solutions qui identifient et prédisent les anomalies propres à leur activité.

Pour terminer, nous vous invitons à consulter Solutions des partenaires de sécurité afin d'accéder aux centaines de produits de pointe proposés par des partenaires APN, qui sont équivalents, identiques ou intégrés à des contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.