AWS如何跟踪云端最大的安全威胁并关闭它们

由CJ Moses于2024年8月5日在Amazon GuardDuty、基础知识 (100)、安全、身份与合规、领导理念

评论 分享

关键要点

威胁情报不仅仅需要聪明的头脑，还要求快速和全球规模的能力，这只有AWS可以提供。

全球各地的组织信任亚马逊网络服务公司AWS来保护他们最敏感的数据。我们通过领先行业的威胁情报计划，帮助确保AWS上的数据安全。这一计划使我们能够识别和阻止多种可能危害或干扰客户及其基础设施的恶意在线活动。生成准确、及时、可操作和可扩展的威胁情报是我们极为重视的责任，也是我们投入大量资源的领域。

随着客户逐渐关注我们的威胁情报来源、观察到的威胁类型、我们如何采取行动以及他们需要做哪些事情来保护自己，首席信息安全官CISOs意识到，有效的威胁情报对组织的成功和韧性至关重要。因此，本文是系列文章的开端，旨在解答这些问题，并举例说明AWS的威胁情报如何保护我们的客户、合作伙伴及其他组织。

全球规模下实现的高保真威胁情报

每天，在AWS基础设施上，我们都会检测并阻止网络攻击。AWS拥有任何云服务提供商最大公共网络足迹，因此对互联网某些活动拥有无与伦比的实时洞察。要让威胁情报对安全产生实质性影响，必须迅速收集大规模的互联网原始数据并加以分析。此外，必须消除误报。例如，威胁情报的发现可能错误地指示内部威胁，实际上员工在非工作时间登录访问敏感数据，可能是因为他们接到紧急项目的任务，需加班完成。生成威胁情报的过程需要耗费大量时间和人力及数字资源。尽管人工智能AI和机器学习可以帮助分析人员过滤和分析大量数据，但如果没有能力跨整个互联网收集和分析相关信息，威胁情报则没有多大用处。即便对于能够自行收集可操作威胁情报的组织而言，没有全球规模云基础设施的支持，时间敏感的信息也难以有效共享。

AWS基础设施能够彻底改变威胁情报，因为我们可以通过监测大量的安全工具生成的智能信号，显著提高威胁情报的准确性，称之为高保真。在此基础上，随着我们发现和监控潜在的有害活动，我们不断提高对威胁行为者日益变化的策略、技术和程序TTPs的观察和应对能力，这通过我们的MadPot技术实现，这是一种与自动响应能力的全球分布式蜂蜜罐威胁传感器网络。

借助全球网络和内部工具如MadPot，我们实时接收和分析成千上万种不同事件信号。例如，MadPot每天在全球范围内观察到超过1亿个潜在威胁，其中大约500000个活动被类划为恶意。这意味着高保真的发现相关信息片段能够快速转化为可操作的威胁情报，从而保护全球客户免受有害和恶意的在线活动。我们的高保真智能还会生成实时发现，这些发现会被纳入我们的智能威胁检测安全服务Amazon GuardDuty，该服务可以自动检测数百万个AWS账户的威胁。

AWS的Mithra评估域名可信度以帮助保护客户免受威胁

我们来深入了解。识别恶意域名互联网上的物理IP地址对有效威胁情报至关重要。GuardDuty在AWS客户与域名互动时生成各种类型的发现潜在安全问题，如异常行为，每个域名被分配一个基于多种指标计算的声誉得分用于评估可信度。为什么要进行这样的排名？因为维护高质量的恶意域名列表对于监测网络犯罪行为至关重要，从而能够更好地保护客户。我们是如何完成这个庞大的排名任务的？首先，想象一个如此巨大的图形也许是现存最大的图形之一，人类无法查看和理解其全部内容，更无法提取可用的见解。

欢迎认识Mithra。Mithra是一个大型内部神经网络图模型，由AWS开发，采用威胁情报算法。Mithra拥有35亿个节点和480亿条边，专门针对客户接触的恶意域名进行识别并提供评分。我们每天观察到大量的DNS请求，在单个AWS区域内可能达到200万亿，并且Mithra每天平均可以检测到182000个新的恶意域名。通过为每天查询的每个域名分配声誉得分，Mithra的算法帮助AWS减少对第三方检测新兴威胁的依赖，并能够生成比通过第三方更快的知识。

Mithra不仅可以以惊人的准确性和更少的误报检测恶意域名，这个超级图形甚至可以在恶意域名出现在第三方威胁情报数据之前，提前几天、几周甚至几个月进行预测。这样的能力使我们能够每天观察和应对数百万个安全事件及潜在威胁。

通过评分域名，Mithra可用于以下几个方面：

与客户共享高保真威胁情报以帮助他们自我保护

我们的威胁情报不仅用于无缝增强AWS及客户依赖的安全服务，我们还主动与客户和其他可能受到恶意行为者针对或潜在被攻陷的组织共享关键信息。共享我们的威胁情报使接收者能够评估我们提供的信息，采取措施降低风险，并帮助防止对其业务的干扰。

例如，利用我们的威胁情报，当我们识别到全球的某些组织的系统可能被威胁行为者攻陷，或存在配置不当的系统容易遭受攻击时，我们会发出通知，提醒他们。网络犯罪分子正在不断扫描互联网上暴露的数据库和其他漏洞，数据库暴露的时间越长，被恶意行为者发现并利用的风险越高。在特定情况下，当我们接收到信号表明第三方非客户组织可能被威胁行为者攻陷时，我们也会通知他们，因为这样可以帮助阻止进一步的攻击，从而推动互联网的整体安全。

通常，当我们向客户和其他组织通报这些问题时，他们可能第一次意识到自己可能已经被攻陷。在我们通知组织后，他们可以开展调查，并确定需要采取的步骤来保护自己，防止导致干扰或进一步利用的事件发生。我们的通知通常还包括组织可以采取的行动建议，如审查特定域名的安全日志并阻止它们、执行缓解措施、修改配置、进行取证调查、安装最新补丁或将基础设施移到网络防火墙后面。这些主动的举措帮助组织在潜在威胁发生之前就采取行动，而不仅仅是在事件发生后进行反应。

有时，我们通知的客户和组织会提供反馈，帮助我们协助其他人。在调查之后，如果受影响的组织提供相关的妥协指标IOCs，这些信息可以改善我们对如何发生妥协的理解。这种理解可能导向关键的见解，我们可能能与其他人共享，让他们能够采取行动改善自身的安全态势，形成有助于共同安全的良性循环。例如，我们收到的信息可能帮助我们了解社交工程攻击或特定网络钓鱼活动是如何导致妥协一个组织的安全，以便在受害者的系统中安装恶意软件。或者，我们可能收到有关零日漏洞的信息，该漏洞被用于发起入侵，或了解如何通过远程代码执行RCE攻击运行恶意代码和其他恶意软件，窃取组织的数据。我们可以运用并分享这些情报以保护客户及其他第三方。当组织共同合作并共享资源、情报和专业知识时，这种类型的合作和协调响应更加有效。

AWS高保真威胁情报作用的三个示例

示例1： 我们的MadPot传感器指示出现异常的网络流量通常与网络攻击相关的潜在不想要或无意的网络流量，并伴随与特定威胁相关的已知IOCs。该网络流量似乎源自一家大型跨国食品服务行业组织的IP范围，并流向东欧，暗示可能存在恶意数据泄露。我们的威胁情报团队立即联系了该受影响组织的安全团队，该组织并非AWS客户。他们已经意识到该问题，但相信他们已成功处理并移除了威胁。然而，我们的传感器指出，威胁仍在持续，表明对方仍在进行持久攻击。我们请求立即升级，并在夜间电话会议中，AWS的首席信息安全官向受影响组织的首席信息安全官共享了实时安全日志，显示大量数据仍在可疑地被泄露，紧急行动是必要的。受影响公司的首席信息安全官同意并迅速与他们的事件响应IR团队合作，成功停止了威胁。

示例2： 今年早些时候，Volexity发布了关于Ivanti Connect Secure VPN中存在两个零日漏洞的研究，导致CV202346805身份验证绕过漏洞和CV202421887发现于多个Web组件的命令注入漏洞的发布。美国网络安全和基础设施安全局CISA于2024年2月29日就此问题发布了网络安全公告。今年早些时候，亚马逊安全团队增强了我们的MadPot传感器，以检测恶意行为者利用这些漏洞的行为。利用通过MadPot传感器获得的信息，亚马逊识别了多个针对易受攻击的Ivanti Connect Secure VPN的活动利用活动。我们还在GuardDuty的常见漏洞和暴露CVE信息源中发布了相关情报，使使用该服务的客户能够检测并阻止其环境中的这种活动。有关CVE评分系统的更多信息，请参阅国家标准与技术研究所NIST漏洞评分

示例3： 在2022年俄罗斯对乌克兰入侵之际，亚马逊主动识别了俄罗斯威胁组织为了针对乌克兰政府服务而创建的基础设施。我们的情报发现被整合入GuardDuty，以自动保护AWS客户，同时为乌克兰政府提供相关信息以帮助保护他们。在入侵后，亚马逊识别了俄罗斯网络威胁行为者所利用的IOCs和TTPs，重点针对某些技术供应链，这可能对反对俄罗斯行为的西方企业产生不利影响。我们与目标AWS客户合作，成功阻止了可能的有害活动，并防止了供应链中断的发生。

AWS运营着地球上最受信任的云基础设施，赋予我们独特的视角来观察安全形势和客户每天面临的威胁。我们对于共享威胁情报的努力能够帮助客户及其他组织变得更安全感到鼓舞，并致力于寻找更多帮助的方式。本系列后续文章将涵盖其他威胁情报主题，例如防御的平均时间、我们内部工具Sonaris等。

如您对本帖有任何反馈，请在评论部分提交评论。如对本帖有任何问题，请联系AWS支持。

CJ MosesCJ Moses是亚马逊的首席信息安全官。在此角色中，CJ领导亚马逊的安全工程和运营。他的使命是通过使安全的好处成为最小抵抗路径来赋能亚马逊的业务。CJ于2007年12月加入亚马逊，曾担任多个职位，包括消费品首席信息安全官，最近成为AWS首席信息安全官，在2023年9月调任为亚马逊首席信息安全官。

在加入亚马逊之前，CJ在联邦调查局的网络局领导计算机与网络入侵的技术分析工作。CJ还曾担任空军特别调查局AFOSI的特别探员。CJ在多个计算机入侵调查中发挥了关键作用，这些调查被视为今天安全行业的基础。

CJ持有计算机科学和刑事司法的学位，并且是活跃的SRO GT America GT2赛车手。

标签：Amazon GuardDuty、安全、安全博客