SEC04-BP04 Lancer la correction pour les ressources non conformes - Pilier Sécurité

SEC04-BP04 Lancer la correction pour les ressources non conformes

Vos contrôles de détection peuvent signaler la présence de ressources non conformes à vos exigences de configuration. Vous pouvez lancer des mesures correctives définies par programme, manuellement ou automatiquement, afin de corriger ces ressources et de minimiser les impacts potentiels. Lorsque vous définissez des mesures correctives par programmation, vous pouvez agir rapidement et avec cohérence.

Bien que l’automatisation puisse améliorer les opérations de sécurité, vous devez la mettre en œuvre et la gérer avec soin.  Mettez en place des mécanismes de supervision et de contrôle appropriés pour vérifier que les réponses automatisées sont efficaces, précises et conformes aux politiques organisationnelles et à la propension au risque.

Résultat escompté : vous définissez les normes de configuration des ressources ainsi que les étapes à suivre pour corriger les ressources détectées comme étant non conformes. Dans la mesure du possible, vous avez défini les mesures correctives par programmation afin qu’elles puissent être lancées manuellement ou automatiquement. Des systèmes de détection sont en place pour identifier les ressources non conformes et publier des alertes dans des outils centralisés surveillés par votre personnel de sécurité. Ces outils vous permettent d’exécuter vos corrections programmatiques, manuellement ou automatiquement. Les mesures correctives automatiques sont dotées de mécanismes de supervision et de contrôle appropriés pour régir leur utilisation.

Anti-modèles courants :

  • Vous mettez en œuvre l’automatisation, mais vous ne parvenez pas à tester ni à valider de manière approfondie les mesures correctives. Cela peut avoir des conséquences imprévues, telles que la perturbation des opérations commerciales légitimes ou l’instabilité du système.

  • Vous améliorez les temps de réponse et les procédures grâce à l’automatisation, mais sans surveillance appropriée et sans mécanismes permettant une intervention et un discernement humains en cas de besoin.

  • Vous vous fiez uniquement aux mesures correctives, au lieu de les intégrer dans le cadre d’un programme plus large de réponse aux incidents et de reprise.

Avantages du respect de cette bonne pratique : les corrections automatiques peuvent répondre aux erreurs de configuration plus rapidement que les processus manuels, ce qui vous permet de minimiser les impacts commerciaux potentiels et de réduire les opportunités d’utilisation involontaire. Lorsque vous définissez des mesures correctives de manière programmatique, elles sont appliquées de manière cohérente, ce qui réduit le risque d’erreur humaine. L’automatisation peut également gérer simultanément un plus grand volume d’alertes, ce qui est particulièrement important dans les environnements fonctionnant à grande échelle.  

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Comme décrit dans SEC01-BP03 Identifier et valider les objectifs de contrôle, des services tels que AWS Config et AWS Security Hub peuvent vous aider à surveiller la configuration des ressources de vos comptes afin de garantir leur conformité à vos exigences. Lorsque des ressources non conformes sont détectées, des services tels que AWS Security Hub peuvent aider à acheminer les alertes de manière appropriée et à prendre des mesures correctives. Ces solutions fournissent à vos enquêteurs de sécurité un emplacement central qui leur permet de surveiller les problèmes et de prendre des mesures correctives.

Alors que certaines situations de ressources non conformes sont uniques et requièrent un discernement humain pour être résolues, d’autres situations ont besoin d’une réponse standard que vous pouvez définir par programmation. Par exemple, une solution standard à un problème de configuration du groupe de sécurité VPC peut consister à supprimer les règles d’interdiction et à en informer le propriétaire. Les réponses peuvent être définies dans les fonctions AWS Lambda, les documents AWS Systems Manager Automation ou via d’autres environnements de code que vous préférez. Assurez-vous que l’environnement est capable de s’authentifier auprès d’AWS à l’aide d’un rôle IAM avec le moins d’autorisations nécessaires pour prendre des mesures correctives.

Une fois que vous avez défini la correction souhaitée, vous pouvez ensuite déterminer le moyen par lequel vous préférez la lancer. AWS Config peut initier des mesures correctives pour vous. Si vous utilisez Security Hub, vous pouvez le faire par le biais d’actions personnalisées, qui publient les informations de résultat sur Amazon EventBridge. Une règle EventBridge peut ensuite lancer votre correction. Vous pouvez configurer les corrections via Security Hub pour qu’elles s’exécutent automatiquement ou manuellement. 

Pour la correction programmatique, nous vous recommandons de disposer de journaux et d’audits complets des actions entreprises, ainsi que de leurs résultats. Passez en revue et analysez ces journaux pour évaluer l’efficacité des processus automatisés et identifier les domaines à améliorer. Capturez les journaux dans Amazon CloudWatch Logs et les résultats des mesures correctives sous forme de notes de résultat dans Security Hub.

Comme point de départ, pensez à Automated Security Response on AWS, qui propose des correctifs prédéfinis pour résoudre les erreurs de configuration de sécurité courantes.

Étapes d’implémentation

  1. Analysez et hiérarchisez les alertes.

    1. Regroupez les alertes de sécurité provenant de différents services AWS dans Security Hub pour centraliser la visibilité, la hiérarchisation et les mesures correctives.

  2. Élaborez des mesures correctives.

    1. Utilisez des services tels que Systems Manager et AWS Lambda pour exécuter des corrections programmatiques.

  3. Configurez la façon dont les mesures correctives sont lancées.

    1. À l’aide de Systems Manager, définissez des actions personnalisées qui publient les résultats dans EventBridge. Configurez ces actions de façon à ce qu’elles soient lancées manuellement ou automatiquement.

    2. Vous pouvez également utiliser Amazon Simple Notification Service (SNS) pour envoyer des notifications et des alertes aux parties prenantes concernées (comme l’équipe de sécurité ou les équipes de réponse aux incidents) pour une intervention manuelle ou une escalade, si nécessaire.

  4. Passez en revue et analysez les journaux de correction afin d’en vérifier l’efficacité et de les améliorer.

    1. Envoyez une sortie de journal à CloudWatch Logs. Enregistrez les résultats sous forme de notes de résultats dans Security Hub.

Ressources

Bonnes pratiques associées :

Documents connexes :

Exemples connexes :

Outils associés :