Chris Betz,亞馬遜云科技首席信息安全官
北京2024年11月6日 /美通社/ -- 亞馬遜云科技一直致力于贏得并維護(hù)客戶對(duì)我們的信賴。安全是我們的首要任務(wù),我們一開始在服務(wù)設(shè)計(jì)階段就將安全考慮其中,并采取主動(dòng)措施減少潛在安全威脅,讓客戶專注于自己的業(yè)務(wù)。為了提高安全能力,我們不斷地創(chuàng)新和投入。
為了防止安全事件對(duì)客戶業(yè)務(wù)產(chǎn)生影響,我們需要始終走在潛在威脅的前面,一旦意識(shí)到有活動(dòng)可能對(duì)客戶產(chǎn)生不好影響,就能迅速行動(dòng)來(lái)保護(hù)客戶。我們之前介紹過(guò)我們復(fù)雜的全球蜜罐系統(tǒng)MadPot和我們龐大的內(nèi)部神經(jīng)網(wǎng)絡(luò)圖模型Mithra。它們是我們兩個(gè)內(nèi)部威脅情報(bào)工具的例子,讓我們能采取主動(dòng)的、實(shí)時(shí)的行動(dòng)來(lái)防止?jié)撛谕{變?yōu)檎嬲绊懣蛻舭踩珕?wèn)題。
我在今年的re:Inforce大會(huì)上介紹過(guò)我們的另一個(gè)內(nèi)部威脅情報(bào)工具——Sonaris。Sonaris是一種主動(dòng)防御工具,可分析潛在有害的網(wǎng)絡(luò)流量,讓我們可以迅速并自動(dòng)限制那些尋找漏洞并加以利用的威脅攻擊者。我們的安全團(tuán)隊(duì)?wèi){借MadPot、Mithra和Sonaris,為亞馬遜云科技裝備了強(qiáng)大的、可操作的大規(guī)模威脅情報(bào),而這種規(guī)模只有亞馬遜云科技才能實(shí)現(xiàn)。下面我將介紹我們?yōu)槭裁匆约叭绾问褂肧onaris來(lái)保護(hù)我們的客戶,以及如何量化衡量威脅情報(bào)產(chǎn)生的影響。
亞馬遜云科技以全球規(guī)模憑借安全創(chuàng)新幫助客戶應(yīng)對(duì)威脅挑戰(zhàn),并取得可量化的成果
過(guò)去十年中,隨著越來(lái)越多的組織機(jī)構(gòu)遷移到云端,威脅攻擊者也在不斷升級(jí)策略尋找未經(jīng)適當(dāng)安全保護(hù)的環(huán)境。2017年,我們的安全團(tuán)隊(duì)觀察到大量未經(jīng)授權(quán)的掃描嘗試(通過(guò)數(shù)字方式和工具進(jìn)行系統(tǒng)檢掃描和探測(cè)亞馬遜云科技的客戶賬戶——威脅攻擊者通過(guò)這些活動(dòng),來(lái)尋找客戶在無(wú)意中配置為可公開訪問(wèn)的 Amazon Simple Storage Service (Amazon S3)存儲(chǔ)桶。為了幫助客戶解決這種安全問(wèn)題,亞馬遜云科技安全團(tuán)隊(duì)開發(fā)了主動(dòng)防御功能,檢測(cè)此類可疑的掃描行為,然后限制攻擊者可能采取的進(jìn)一步訪問(wèn)客戶S3存儲(chǔ)桶的不當(dāng)行為。
這種應(yīng)對(duì)云時(shí)代新的安全挑戰(zhàn)的方法到現(xiàn)在已經(jīng)演變成為我們的威脅情報(bào)工具Sonaris,如今它可以在幾分鐘內(nèi)在全球范圍內(nèi)識(shí)別并自動(dòng)限制未經(jīng)授權(quán)的掃描和發(fā)現(xiàn)S3存儲(chǔ)桶的行為。Sonaris應(yīng)用安全規(guī)則和算法每分鐘可識(shí)別2,000億次事件中的異常情況。亞馬遜云科技阻止威脅攻擊者嘗試發(fā)現(xiàn)并利用錯(cuò)誤配置或過(guò)期軟件的不當(dāng)行為,顯示了我們?cè)诎踩芰Φ闹卮筇嵘?/p>
我們?nèi)绾魏饬縎onaris應(yīng)對(duì)網(wǎng)絡(luò)流量攻擊實(shí)際對(duì)客戶產(chǎn)生的影響?我們可以比較有無(wú)Sonaris保護(hù)的MadPot傳感器之間的威脅活動(dòng)。為此,我們使用MadPot構(gòu)建兩個(gè)獨(dú)立的大規(guī)模蜜罐測(cè)試組,來(lái)比較每種安全配置的統(tǒng)計(jì)數(shù)據(jù)。一組受到基于Sonaris分析的邊界安全控制保護(hù),另一個(gè)獨(dú)立的集群則沒(méi)有受到任何保護(hù)。這讓我們可以衡量亞馬遜云科技網(wǎng)絡(luò)邊界內(nèi)主機(jī)的防護(hù)覆蓋范圍。
這些分組測(cè)試的結(jié)果顯示Sonaris設(shè)法阻止了數(shù)量巨大的潛在威脅,也彰顯了其背后不斷增強(qiáng)的亞馬遜云科技基礎(chǔ)設(shè)施的安全性。例如,在MadPot分類的數(shù)百種不同類型的惡意交互中,在2024年9月,Sonaris顯示其中不當(dāng)嘗試減少了83%。在過(guò)去12個(gè)月中,Sonaris拒絕了超過(guò)270億次嘗試查找無(wú)意公開的S3存儲(chǔ)桶,并阻止了近2.7萬(wàn)億次嘗試發(fā)現(xiàn)Amazon Elastic Compute Cloud (Amazon EC2)上的服務(wù)漏洞。這種保護(hù)極大地降低了亞馬遜云科技客戶的風(fēng)險(xiǎn)。
Sonaris如何檢測(cè)并限制不當(dāng)掃描和攻擊
Sonaris在保護(hù)亞馬遜云科技和我們客戶方面發(fā)揮著至關(guān)重要的作用,它檢測(cè)并限制那些針對(duì)亞馬遜云科技基礎(chǔ)設(shè)施和服務(wù)的可疑行為。它的功能是基于亞馬遜云科技的網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)源以及我們的威脅情報(bào)數(shù)據(jù)而構(gòu)建的。Sonaris與眾不同之處在于,它將亞馬遜云科技網(wǎng)絡(luò)遙監(jiān)控亞馬遜威脅情報(bào)相結(jié)合,通過(guò)提供安全有效的威脅防御,減少無(wú)差別的掃描活動(dòng)。
針對(duì)我們服務(wù)生成的大量匯總元數(shù)據(jù)和服務(wù)健康狀況監(jiān)控?cái)?shù)據(jù),Sonaris應(yīng)用啟發(fā)式、統(tǒng)計(jì)和機(jī)器學(xué)習(xí)算法。MadPot是Sonaris使用的一個(gè)威脅情報(bào)源,每天會(huì)接收來(lái)自數(shù)萬(wàn)個(gè)IP地址的流量。MadPot模擬數(shù)百種不同的服務(wù),并模仿客戶賬戶,然后將這些交互分類為已知的常見(jiàn)漏洞和風(fēng)險(xiǎn)(Common Vulnerabilities and Exposures, CVEs)和其他漏洞。通過(guò)MadPot,Sonaris還可以整合其他高保真度信號(hào),以更高精度識(shí)別威脅參與者的活動(dòng)。從MadPot收集的第一方威脅情報(bào)提高了Sonaris自動(dòng)限制已知惡意漏洞枚舉攻擊的可靠性和準(zhǔn)確性,從而實(shí)現(xiàn)了對(duì)客戶的自動(dòng)保護(hù)。
當(dāng)Sonaris識(shí)別出惡意嘗試掃描亞馬遜云科技IP地址或客戶賬戶時(shí),它會(huì)觸發(fā)Amazon Shield、 Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3和 Amazon WAF的自動(dòng)保護(hù),實(shí)時(shí)自動(dòng)保護(hù)客戶資源免受未經(jīng)授權(quán)活動(dòng)的影響。Sonaris對(duì)限制哪些活動(dòng)非常的謹(jǐn)慎,只在有足夠高的把握認(rèn)為交互是惡意的情況下才會(huì)干預(yù)。例如,為了確保不會(huì)限制合法的客戶交互,我們開發(fā)了動(dòng)態(tài)護(hù)欄模型來(lái)識(shí)別亞馬遜云科技服務(wù)中正常運(yùn)行的行為,以便只檢測(cè)和應(yīng)對(duì)可疑活動(dòng)。我們不斷更新和刷新這些護(hù)欄模型,加入我們最新的觀察,來(lái)避免對(duì)合法的客戶活動(dòng)采取行動(dòng)。
Sonaris針對(duì)動(dòng)態(tài)威脅防御正產(chǎn)生廣泛的實(shí)際影響
在2023年和2024年期間,一個(gè)名為Dota3的大型活躍僵尸網(wǎng)絡(luò)一直在掃描互聯(lián)網(wǎng),尋找易受攻擊的主機(jī)和設(shè)備來(lái)安裝惡意軟件(通過(guò)秘密利用受害者的計(jì)算機(jī)或設(shè)備資源的惡意軟件)。Sonaris一直有效地保護(hù)客戶免受這個(gè)僵尸網(wǎng)絡(luò)的攻擊,即使僵尸網(wǎng)絡(luò)操作員試圖采用新方式規(guī)避防御。在2024年第三季度,我們觀察到這個(gè)僵尸網(wǎng)絡(luò)的掃描行為發(fā)生變化,開始使用不同的載荷、速率和端點(diǎn)。多虧了Sonaris分層檢測(cè)方法,讓這個(gè)僵尸網(wǎng)絡(luò)無(wú)法避免我們的自動(dòng)檢測(cè)。Sonaris自動(dòng)保護(hù)客戶免受每小時(shí)超過(guò)16,000個(gè)惡意掃描端點(diǎn)的攻擊。
亞馬遜云科技致力于讓互聯(lián)網(wǎng)變得更加安全
盡管Sonaris能夠降低風(fēng)險(xiǎn),但它無(wú)法完全消除風(fēng)險(xiǎn),為此我們的工作還遠(yuǎn)未結(jié)束。我們將持續(xù)發(fā)展和加強(qiáng)安全措施,亞馬遜云科技將繼續(xù)致力于讓互聯(lián)網(wǎng)變得更加安全,讓客戶能夠在日益復(fù)雜的數(shù)字環(huán)境中快速發(fā)展的同時(shí)保持強(qiáng)大的安全態(tài)勢(shì)。通過(guò)創(chuàng)建像Sonaris這樣的主動(dòng)安全工具,以及客戶積極采用安全最佳實(shí)踐,我們將共同創(chuàng)建一個(gè)更加安全的云環(huán)境。