今天,我很高兴向大家介绍先进的 AI/ML 威胁检测功能亚马逊 GuardDuty。这项新功能利用 AWS 广泛的云可见性和规模来为您的应用程序、工作负载和数据提供改进的威胁检测。GuardDuty 扩展威胁检测采用复杂的 AI/ML 来识别已知和以前未知的攻击序列,从而提供更全面、更主动的云安全方法。此增强功能解决了现代云环境日益复杂的问题以及不断变化的安全威胁形势,简化了威胁检测和响应。
许多组织在有效分析和响应云环境中生成的大量安全事件方面面临挑战。随着安全威胁的频率和复杂性不断增加,有效检测和响应随着时间的推移以事件序列形式发生的攻击变得越来越具有挑战性。安全团队经常难以将可能属于较大攻击一部分的相关活动拼凑在一起,可能会错过关键威胁或响应太晚而无法防止重大影响。
为了应对这些挑战,我们扩展了 GuardDuty 威胁检测功能,添加了新的 AI/ML 功能,这些功能可关联安全信号以识别 AWS 环境中的主动攻击序列。这些序列可以包括攻击者采取的多个步骤,例如权限发现、API 操作、持久性活动和数据泄露。这些检测结果表示为攻击序列结果,这是一种具有严重严重性的新型 GuardDuty 发现结果。此前,GuardDuty 从未使用过“严重”级别,而是为最有信心和最紧迫的发现保留此级别。这些新发现介绍了严重的严重性,包括威胁性质和重要性的自然语言摘要、映射到 MITRE ATT&CK® 框架中的策略和技术的观察到的活动,以及基于 AWS 最佳实践的规范性补救建议。
GuardDuty 扩展威胁检测引入了新的攻击序列发现,并提高了凭证泄露、权限升级和数据泄露等领域现有检测的可操作性。此增强功能使 GuardDuty 能够提供跨帐户内多个数据源、时间段和资源的复合检测,使您能够更全面地了解复杂的云攻击。
让我向您展示新功能如何发挥作用。
如何使用 Amazon GuardDuty 中的新 AI/ML 威胁检测
要体验 GuardDuty 中的新 AI/ML 威胁检测,请访问Amazon GuardDuty 控制台并探索新的小部件概括页。概述小部件现在可以帮助您查看所拥有的攻击序列的数量并考虑这些攻击序列的详细信息。云环境调查结果通常揭示多阶段攻击,但这些复杂的攻击序列数量很少,仅占调查结果总数的一小部分。对于这个特定帐户,您可以在云环境中观察到各种结果,但只有少数实际的攻击序列。在更大的云环境中,您可能会看到数百甚至数千个结果,但相比之下,攻击序列的数量可能仍然相对较小。
我们还添加了一个新的小部件,可帮助您查看按严重程度细分的结果。这使得您可以更轻松地快速转向并调查您感兴趣的具体发现。调查结果现在按以下顺序排序严重性,为您提供最关键问题的清晰概述,包括额外的批判的严重性类别,确保立即引起您注意最紧急的检测结果。您还可以通过选择仅过滤攻击序列仅顶级攻击序列。
默认情况下启用此新功能,因此您无需执行任何其他步骤即可开始工作。除了 GuardDuty 及其相关保护计划的基本费用之外,此功能不会产生任何额外费用。当您启用额外的 GuardDuty 保护计划时,此功能将提供更集成的安全价值,帮助您获得更深入的见解。
您可以观察到两种类型的发现。第一个是数据泄露,这表明潜在的数据泄露可能是更大规模勒索软件攻击的一部分。对于大多数客户来说,数据是最重要的组织资产,因此成为一个重要的关注领域。第二个发现是受损凭证类型,它可以帮助您检测受损凭证的滥用情况,通常是在云环境中攻击的早期阶段。
让我深入探讨一项妥协的数据发现。我将重点关注“一个或多个 S3 存储桶的潜在数据泄露,涉及对与您帐户中的用户关联的多个信号执行的一系列操作”。这一发现表明我们观察到数据在多个方面受到损害亚马逊简单存储服务(Amazon S3)具有多个关联信号的桶。
此调查结果提供的摘要为您提供了关键详细信息,包括执行操作的特定用户(由其主体 ID 标识)、受影响的帐户和资源以及活动发生的延长时间段(接近一整天)。此信息可以帮助您快速了解潜在危害的范围和严重性。
这一发现在近 24 小时内观察到了八个不同的信号,表明使用了映射到 MITRE ATT&CK® 框架的多种策略和技术。整个攻击链的广泛覆盖——从凭证访问到发现、规避、持久性,甚至影响和渗透——表明这可能确实是一次真正的积极事件。这一发现还揭示了一种令人担忧的数据破坏技术,这一点尤其令人震惊。
此外,GuardDuty 通过突出显示敏感 API 调用(例如用户删除AWS 云跟踪踪迹。这种类型的规避行为,再加上创建新的访问密钥和针对 Amazon S3 对象的操作,进一步加剧了事件的严重性和潜在范围。根据此调查结果中提供的信息,您可能希望更彻底地调查此事件。
审查ATT&CK 战术与调查结果相关的信息可以让您了解所涉及的具体策略,无论是单一策略还是多重策略。GuardDuty 还提供安全指标,解释为什么活动被标记为可疑并分配严重严重性,包括调用的高风险 API 和观察到的策略。
更深入地了解,您可以查看有关负责人的详细信息。这些信息包括用户如何连接并执行这些操作,包括网络位置。这些额外的背景信息可以帮助您更好地了解事件的全部范围和性质,这对于调查和响应至关重要。您可以遵循基于 AWS 最佳实践的规范性补救建议,为您提供可操作的见解,以快速处理和解决已识别的检测结果。这些量身定制的建议可帮助您改善云安全状况并确保符合安全准则。这
信号选项卡可以按最新或最旧的顺序排序。如果响应主动攻击,您需要从最新信号开始,以快速了解并缓解情况。对于事件后审查,您可以追溯到最初的活动。深入研究每项活动可提供有关特定发现的详细信息。我们还提供快速浏览指标,演员, 和端点总结发生了什么以及谁采取了行动。
了解详细信息的另一种方法是访问资源选项卡,您可以在其中检查涉及的不同存储桶和访问密钥。对于每个资源,您可以检查发生了哪些策略和技术。选择开放资源以直接转到相关控制台并了解更多详细信息。
我们引入了 GuardDuty 调查结果的全页视图,使您可以更轻松地在一个位置查看所有上下文数据。但是,如果您喜欢这种布局,带有侧面板的传统结果页面仍然可用,它可以快速查看特定结果的详细信息。
GuardDuty 扩展威胁检测会自动为区域中的所有 GuardDuty 帐户启用,利用基础数据源,无需额外的保护计划。启用额外的保护计划可以扩大安全信号分析的范围,从而提高服务识别复杂攻击序列的能力。GuardDuty 特别建议激活S3保护检测 Amazon S3 存储桶中潜在的数据泄露。如果未启用 S3 保护,GuardDuty 无法生成特定于 S3 的结果或识别涉及 S3 资源的攻击序列,从而限制了其检测 Amazon S3 环境中数据泄露场景的能力。
GuardDuty 扩展威胁检测与现有 GuardDuty 工作流程集成,包括AWS 安全中心,亚马逊事件桥和第三方安全事件管理系统。
现已上市
Amazon GuardDuty 扩展威胁检测通过自动分析复杂的攻击序列并提供可行的见解来显着增强云安全性,帮助您专注于高效解决最关键的威胁,减少手动分析所需的时间和精力。
这些功能会自动为所有新的和现有的 GuardDuty 客户启用,无需额外费用。AWS 区域 支持 GuardDuty 的地方。
要了解更多信息并开始从这些新功能中受益,请访问亚马逊 GuardDuty文档。
——埃斯拉