Cet article examinera les meilleures pratiques sur la manière dont les organisations peuvent ingérer, normaliser et structurer efficacement leurs journaux AWS afin que les équipes de sécurité puissent mettre en œuvre efficacement les détections appropriées pour leur environnement AWS spécifique. Nous discuterons également de la manière dont les dirigeants peuvent activer une pratique de détection en tant que code permettant aux équipes de sécurité de faire évoluer leurs opérations d’ingénierie de sécurité de manière résiliente parallèlement à leur environnement AWS à mesure qu’il évolue et se développe.
L’état actuel de la surveillance des journaux de sécurité
À mesure que les entreprises déplacent de plus en plus leurs opérations vers le cloud, le besoin d’une surveillance robuste des journaux de sécurité devient de plus en plus important. Les données des journaux de sécurité peuvent fournir des informations précieuses sur l’infrastructure informatique d’une organisation et aider à identifier les menaces de sécurité potentielles.
Cependant, de nombreuses entreprises ont du mal à utiliser pleinement la surveillance des journaux dans le cloud et sont souvent déconcertées par la complexité et l’échelle des journaux disponibles dans leur environnement cloud. Avec la multitude d’outils et de services spécifiques à AWS disponibles, l’ensemble de journaux générés par ces services choisis peut s’additionner rapidement.
Dans une récente enquête Panther auprès des professionnels de la sécurité qui protègent un environnement AWS, 18,8 % des personnes interrogées ont indiqué qu’elles enregistrent les données de plus de 40 comptes, et plus de 54,4 % déclarent que leurs environnements sont « très complexes ». En outre, 64,8 % de ces personnes interrogées ont déclaré que leur entreprise « n’existait que dans le cloud ». Et une majorité (17,9 %) ont déclaré que la collecte rapide de grandes quantités de données de journaux à partir de plusieurs sources était leur principal défi.
Cette complexité est dommage car les données des journaux de sécurité sont essentielles pour identifier et atténuer les cybermenaces. En suivant l’activité dans votre environnement et en détectant tout comportement suspect, vous pouvez réduire le risque d’une violation de données ou d’un autre incident de sécurité. Voici quelques bonnes pratiques pour y parvenir.
1. Ingérer, normaliser et centraliser efficacement les journaux AWS
L’une des meilleures façons de protéger vos données et d’assurer la sécurité de votre environnement AWS consiste à ingérer, normaliser et centraliser efficacement vos journaux. Cela vous permet de visualiser de manière exhaustive toutes les activités de votre environnement et de détecter rapidement tout comportement suspect.
L’organisation et la centralisation des journaux AWS peuvent être difficiles pour les praticiens de la sécurité, mais il est nécessaire d’avoir une visibilité sur votre environnement. Malheureusement, les journaux sont cloisonnés dans AWS, ce qui crée un problème d’avoir trop de journaux non corrélés, et ce manque de corrélation signifie un manque de visibilité et de contexte. Pour regagner cette visibilité, nous vous suggérons de centraliser vos journaux AWS avec d’autres détails de sécurité pertinents en un seul endroit.
Malheureusement, lorsque vous centralisez vos journaux AWS avec une solution SIEM héritée, vous vous exposez à des prix ridiculement élevés. Au fur et à mesure que vous évoluez, le prix de la gestion de ces journaux peut grimper très rapidement et devenir coûteux. Par conséquent, les équipes de sécurité doivent trouver une plate-forme rentable qui évoluera bien avec une empreinte AWS croissante et fonctionnera rapidement sur de grandes quantités de données de journaux.
En ingérant, normalisant et centralisant efficacement vos journaux AWS, vous pouvez acquérir une meilleure compréhension de la façon dont votre environnement est utilisé et aider à identifier les menaces de sécurité potentielles. La mise en œuvre de ces mesures contribuera à garantir la sécurité de vos données et l’intégrité de votre environnement AWS.
2. Implémentez les bonnes détections pour votre environnement
Une autre étape critique pour protéger vos données et assurer la sécurité de votre compte AWS consiste à mettre en œuvre de bonnes détections. Cela signifie choisir les bonnes méthodes de détection et les bons paramètres pour votre environnement spécifique.
Les praticiens de la sécurité ont besoin d’un moyen simple de mettre en œuvre une couverture de détection prête à l’emploi, alignée sur les cadres de sécurité des meilleures pratiques comme CIS et MITRE. Cependant, une fois la couverture de base en place; les organisations ont également besoin de flexibilité pour mettre en œuvre des détections personnalisées ou spécifiques à l’environnement.
Pour sécuriser votre environnement AWS, il est essentiel d’utiliser des détections et des politiques prêtes à l’emploi. Tout d’abord, cela facilite le démarrage. Ensuite, tirez parti de la visualisation MITRE ATT&CK Mapping pour vous aider à comprendre les détections dont vous avez besoin. Enfin, implémenter une logique de détection à l’aide d’un langage général au lieu d’un langage alambiqué et spécifique au fournisseur. Par exemple, Python est un langage expressif largement adopté par les ingénieurs de tous bords. Compte tenu de l’adoption et de l’ensemble robuste de bibliothèques disponibles pour Python, il est à la fois plus simple et plus puissant pour modifier ou écrire des détections personnalisées adaptées à votre environnement AWS particulier.
La mise en œuvre des bonnes détections est une étape essentielle pour garantir la sécurité de vos données et de votre environnement AWS. Le choix des méthodes et des paramètres appropriés peut réduire le risque d’une violation de données ou d’un autre incident de sécurité.
3. Mettre en œuvre la détection en tant que code pour aider les opérations d’ingénierie de sécurité à évoluer et à s’adapter aux côtés d’AWS
L’infrastructure et les services AWS sont flexibles et évolutifs, donc la détection des menaces devrait l’être aussi. Pour protéger vos données et assurer la sécurité de votre environnement AWS, il est important d’utiliser du code pour définir vos détections plutôt que des méthodes manuelles ou des systèmes basés sur des règles.
La détection en tant que code permet d’écrire des détections en tant qu’infrastructure en tant que code (IaC), et la configuration en tant que code (CaC) concerne les fichiers de définition lisibles par machine et les modèles d’infrastructure de cadrage. La détection en tant que code est un moyen systématisé, adaptable et global de détecter les menaces à l’aide du logiciel. Cela améliorera la résilience de vos opérations de sécurité face à la nature en constante évolution d’AWS.
Les praticiens de la sécurité ont besoin d’une solution capable de déterminer rapidement quelles détections sont en cours d’exécution, quelle version de la logique ils utilisent et comment les mettre à jour sans causer plus de problèmes. La mise en œuvre de la détection en tant que code peut aider à améliorer la précision et l’évolutivité de vos opérations de détection. Cela permet également de garantir que vos méthodes de détection sont toujours à jour avec les dernières modifications de votre environnement.
En utilisant la détection en tant que code, les équipes peuvent gérer efficacement leurs versions de détection et comprendre quelle logique est utilisée pour chacune. De plus, ce processus permet à l’équipe de sécurité d’utiliser et d’adapter facilement le code existant pour les nouveaux services AWS plutôt que de repartir de zéro à chaque fois.
En mettant en œuvre la détection en tant que code, vous pouvez améliorer la précision et l’évolutivité de vos opérations de détection, car cela vous permet de tester vos méthodes de détection à l’aide de données réelles au lieu de scénarios hypothétiques. De cette façon, vous pouvez être sûr que votre nouvelle stratégie de détection n’entraînera pas une surabondance de fausses alarmes.
Conclusion
AWS est une plate-forme en croissance rapide, et l’avenir de la gestion des journaux de sécurité s’annonce prometteur pour ceux qui suivent ces bonnes pratiques. La mise en œuvre des bonnes détections, l’utilisation de la détection en tant que code et l’adaptation aux changements de votre environnement sont toutes des étapes essentielles pour garantir la sécurité de vos données et de votre compte AWS. De plus, suivre ces meilleures pratiques peut aider à protéger votre organisation contre les violations de données et autres incidents de sécurité.