AWS lance un service automatisé de réponse aux incidents

AWS a lancé dimanche un nouveau service conçu pour aider ses clients dans leurs efforts de réponse aux incidents en automatisant les processus de triage et de remédiation.

AWS Security Incident Response, qui a été dévoilé avant le début de la conférence re:Invent 2024, qui se déroule cette semaine, vise à réduire le temps moyen de réponse des organisations aux menaces potentielles et aux cyberattaques. Le service peut automatiquement trier et remédier aux événements de sécurité détectés par Amazon GuardDuty, le service de détection des menaces du géant du cloud, ou par d’autres outils tiers pris en charge, tout en signalant les événements qui requièrent l’attention des équipes de sécurité.

Hart Rossman, vice-président monde d’AWS en charge des services de sécurité, indique qu’en cas de menaces hautement prioritaires, le service permet un accès simplifié à l’équipe de réponse aux incidents des clients d’AWS (CIRT), qui fournit une assistance 24 heures sur 24 et 7 jours sur 7.

« Cela offre la possibilité aux équipes de sécurité centralisées de se concentrer sur les résultats les plus immédiats et les plus pertinents », estime-t-il, ajoutant que « cela offre également des fonctions de communication et de collaboration qui rationalisent la réponse aux incidents et permettent une collaboration directe avec le CIRT AWS ».

Hart Rossman explique qu’AWS Security Incident Response fournit aux clients des règles claires de triage et de cascade dans la documentation du service afin que les organisations comprennent quelles détections GuardDuty génère et comment ces détections peuvent être classées par ordre de priorité. Il précise au passage que la fonction de triage automatisé utilise une technologie d’apprentissage automatique pour le processus de prise de décision.

« Peu après la disponibilité générale, nous prévoyons de lancer des fonctionnalités d’IA générative », ajoute Hart Rossman. « Nous avons de bonnes idées et elles sont plutôt bien fondées et bien testées, mais nous ne les rendrons pas disponibles immédiatement ».

AWS Security Incident Response propose également des paramètres d’autorisation et des politiques préconfigurés pour les employés internes et les tiers tels que les équipes de sécurité externes. Le service fournit une console centrale qui permet aux clients de gérer les incidents en cours, d’ajuster les paramètres d’alerte et de suivre l’historique des cas ainsi que des mesures telles que le temps moyen de résolution.

« Les équipes de sécurité sont souvent confrontées à un nombre écrasant d’alertes quotidiennes, ce qui peut conduire à des priorités de ressources mal placées et à une efficacité réduite », écrit Betty Zheng, évangéliste développeurs sénior chez AWS, dans un billet de blog annonçant AWS Security Incident Response. « L’investigation manuelle des résultats mobilise les ressources et peut amener les clients à négliger des alertes de sécurité critiques ».

Selon Hart Rossman, ce service, qui est en cours de développement depuis près de deux ans, est né du désir des clients de disposer des mêmes outils et techniques qu’AWS CIRT, mais en libre-service. Et d’assurer que les essais des clients pendant la phase de prévisualisation ont montré à quel point le triage automatisé peut réduire la fatigue des alertes pour les équipes de sécurité.

« La suppression du bruit est essentielle », relève-t-il. « Nous nous efforçons de réduire le temps moyen de réponse, ce qui signifie que nous disposons d’un ensemble d’algorithmes nous aidant à supprimer les alertes qui peuvent être résolues automatiquement et à faire remonter celles qui nécessitent vraiment la présence d’un humain dans la boucle ».

En outre, la phase de prévisualisation a également révélé que de nombreuses organisations disposent d’un paysage disparate en matière de réponse aux incidents, avec différents outils qui n’« interopèrent » pas nécessairement et de multiples canaux de communication répartis dans plusieurs environnements. Selon Hart Rossman, il est essentiel de disposer d’un canal de communication central pour les parties prenantes internes et externes.

En plus de GuardDuty et des outils tiers pris en charge, AWS envisage d’ajouter d’autres sources de données à AWS Security Incident Response à l’avenir. « Nous avons une feuille de route très intéressante pour augmenter les capacités et la valeur ajoutée pour les clients », avance Hart Rossman.

AWS Security Incident Response est désormais disponible dans le monde entier.