Chris Betz�����,亞馬遜云科技首席信息安全官
北京2024年11月6日 /美通社/ -- 亞馬遜云科技一直致力于贏得并維護客戶對我們的信賴��。安全是我們的首要任務�,我們一開始在服務設計階段就將安全考慮其中,并采取主動措施減少潛在安全威脅,讓客戶專注于自己的業(yè)務���。為了提高安全能力��,我們不斷地創(chuàng)新和投入�����。
為了防止安全事件對客戶業(yè)務產(chǎn)生影響���,我們需要始終走在潛在威脅的前面,一旦意識到有活動可能對客戶產(chǎn)生不好影響�,就能迅速行動來保護客戶。我們之前介紹過我們復雜的全球蜜罐系統(tǒng)MadPot和我們龐大的內部神經(jīng)網(wǎng)絡圖模型Mithra����。它們是我們兩個內部威脅情報工具的例子,讓我們能采取主動的�����、實時的行動來防止?jié)撛谕{變?yōu)檎嬲绊懣蛻舭踩珕栴}����。
我在今年的re:Inforce大會上介紹過我們的另一個內部威脅情報工具——Sonaris。Sonaris是一種主動防御工具,可分析潛在有害的網(wǎng)絡流量���,讓我們可以迅速并自動限制那些尋找漏洞并加以利用的威脅攻擊者���。我們的安全團隊憑借MadPot���、Mithra和Sonaris�����,為亞馬遜云科技裝備了強大的��、可操作的大規(guī)模威脅情報��,而這種規(guī)模只有亞馬遜云科技才能實現(xiàn)�����。下面我將介紹我們?yōu)槭裁匆约叭绾问褂肧onaris來保護我們的客戶�����,以及如何量化衡量威脅情報產(chǎn)生的影響����。
亞馬遜云科技以全球規(guī)模憑借安全創(chuàng)新幫助客戶應對威脅挑戰(zhàn),并取得可量化的成果
過去十年中��,隨著越來越多的組織機構遷移到云端���,威脅攻擊者也在不斷升級策略尋找未經(jīng)適當安全保護的環(huán)境��。2017年��,我們的安全團隊觀察到大量未經(jīng)授權的掃描嘗試(通過數(shù)字方式和工具進行系統(tǒng)檢掃描和探測亞馬遜云科技的客戶賬戶——威脅攻擊者通過這些活動���,來尋找客戶在無意中配置為可公開訪問的 Amazon Simple Storage Service (Amazon S3)存儲桶。為了幫助客戶解決這種安全問題���,亞馬遜云科技安全團隊開發(fā)了主動防御功能��,檢測此類可疑的掃描行為����,然后限制攻擊者可能采取的進一步訪問客戶S3存儲桶的不當行為��。
這種應對云時代新的安全挑戰(zhàn)的方法到現(xiàn)在已經(jīng)演變成為我們的威脅情報工具Sonaris�����,如今它可以在幾分鐘內在全球范圍內識別并自動限制未經(jīng)授權的掃描和發(fā)現(xiàn)S3存儲桶的行為。Sonaris應用安全規(guī)則和算法每分鐘可識別2,000億次事件中的異常情況��。亞馬遜云科技阻止威脅攻擊者嘗試發(fā)現(xiàn)并利用錯誤配置或過期軟件的不當行為����,顯示了我們在安全能力的重大提升。
我們如何衡量Sonaris應對網(wǎng)絡流量攻擊實際對客戶產(chǎn)生的影響����?我們可以比較有無Sonaris保護的MadPot傳感器之間的威脅活動�����。為此�,我們使用MadPot構建兩個獨立的大規(guī)模蜜罐測試組,來比較每種安全配置的統(tǒng)計數(shù)據(jù)�。一組受到基于Sonaris分析的邊界安全控制保護,另一個獨立的集群則沒有受到任何保護�。這讓我們可以衡量亞馬遜云科技網(wǎng)絡邊界內主機的防護覆蓋范圍。
這些分組測試的結果顯示Sonaris設法阻止了數(shù)量巨大的潛在威脅�,也彰顯了其背后不斷增強的亞馬遜云科技基礎設施的安全性。例如���,在MadPot分類的數(shù)百種不同類型的惡意交互中�����,在2024年9月���,Sonaris顯示其中不當嘗試減少了83%����。在過去12個月中����,Sonaris拒絕了超過270億次嘗試查找無意公開的S3存儲桶,并阻止了近2.7萬億次嘗試發(fā)現(xiàn)Amazon Elastic Compute Cloud (Amazon EC2)上的服務漏洞�。這種保護極大地降低了亞馬遜云科技客戶的風險。
Sonaris如何檢測并限制不當掃描和攻擊
Sonaris在保護亞馬遜云科技和我們客戶方面發(fā)揮著至關重要的作用����,它檢測并限制那些針對亞馬遜云科技基礎設施和服務的可疑行為。它的功能是基于亞馬遜云科技的網(wǎng)絡監(jiān)控數(shù)據(jù)源以及我們的威脅情報數(shù)據(jù)而構建的��。Sonaris與眾不同之處在于�����,它將亞馬遜云科技網(wǎng)絡遙監(jiān)控亞馬遜威脅情報相結合,通過提供安全有效的威脅防御���,減少無差別的掃描活動���。
針對我們服務生成的大量匯總元數(shù)據(jù)和服務健康狀況監(jiān)控數(shù)據(jù),Sonaris應用啟發(fā)式���、統(tǒng)計和機器學習算法�����。MadPot是Sonaris使用的一個威脅情報源�,每天會接收來自數(shù)萬個IP地址的流量����。MadPot模擬數(shù)百種不同的服務���,并模仿客戶賬戶�����,然后將這些交互分類為已知的常見漏洞和風險(Common Vulnerabilities and Exposures, CVEs)和其他漏洞���。通過MadPot�����,Sonaris還可以整合其他高保真度信號��,以更高精度識別威脅參與者的活動��。從MadPot收集的第一方威脅情報提高了Sonaris自動限制已知惡意漏洞枚舉攻擊的可靠性和準確性�����,從而實現(xiàn)了對客戶的自動保護����。
當Sonaris識別出惡意嘗試掃描亞馬遜云科技IP地址或客戶賬戶時�,它會觸發(fā)Amazon Shield、 Amazon Virtual Private Cloud (Amazon VPC)�����、Amazon S3和 Amazon WAF的自動保護�����,實時自動保護客戶資源免受未經(jīng)授權活動的影響。Sonaris對限制哪些活動非常的謹慎���,只在有足夠高的把握認為交互是惡意的情況下才會干預��。例如�,為了確保不會限制合法的客戶交互�����,我們開發(fā)了動態(tài)護欄模型來識別亞馬遜云科技服務中正常運行的行為��,以便只檢測和應對可疑活動�。我們不斷更新和刷新這些護欄模型,加入我們最新的觀察���,來避免對合法的客戶活動采取行動����。
Sonaris針對動態(tài)威脅防御正產(chǎn)生廣泛的實際影響
在2023年和2024年期間����,一個名為Dota3的大型活躍僵尸網(wǎng)絡一直在掃描互聯(lián)網(wǎng)��,尋找易受攻擊的主機和設備來安裝惡意軟件(通過秘密利用受害者的計算機或設備資源的惡意軟件)。Sonaris一直有效地保護客戶免受這個僵尸網(wǎng)絡的攻擊�,即使僵尸網(wǎng)絡操作員試圖采用新方式規(guī)避防御。在2024年第三季度��,我們觀察到這個僵尸網(wǎng)絡的掃描行為發(fā)生變化����,開始使用不同的載荷、速率和端點��。多虧了Sonaris分層檢測方法,讓這個僵尸網(wǎng)絡無法避免我們的自動檢測�。Sonaris自動保護客戶免受每小時超過16,000個惡意掃描端點的攻擊。
亞馬遜云科技致力于讓互聯(lián)網(wǎng)變得更加安全
盡管Sonaris能夠降低風險����,但它無法完全消除風險,為此我們的工作還遠未結束����。我們將持續(xù)發(fā)展和加強安全措施,亞馬遜云科技將繼續(xù)致力于讓互聯(lián)網(wǎng)變得更加安全�����,讓客戶能夠在日益復雜的數(shù)字環(huán)境中快速發(fā)展的同時保持強大的安全態(tài)勢。通過創(chuàng)建像Sonaris這樣的主動安全工具�,以及客戶積極采用安全最佳實踐,我們將共同創(chuàng)建一個更加安全的云環(huán)境�����。
