首席信息安全官:如何追蹤并阻止云端的安全威脅

來源:亞馬遜云科技
作者:CJ Moses
時間:2024-08-21
2837
來自全球的企業(yè)信任亞馬遜云科技存儲及處理其敏感數(shù)據(jù)。

來自全球的企業(yè)信任亞馬遜云科技存儲及處理其敏感數(shù)據(jù)。業(yè)界領(lǐng)先的威脅信息是我們確??蛻粼趤嗰R遜云科技上的數(shù)據(jù)安全的一種方式,我們通過該項目識別和阻止各種可能危害或干擾我們客戶及基礎(chǔ)設(shè)施的惡意在線活動。我們非常重視制定準(zhǔn)確、及時、可操作和可擴(kuò)展的威脅信息,并在這方面投入了大量資源。

很多客戶非常想了解我們威脅信息的來源、我們檢測到了哪些威脅、我們?nèi)绾胃鶕?jù)所觀察到的內(nèi)容采取行動,以及他們需要做什么來保護(hù)他們自己。這些問題表明,首席信息安全官的角色已經(jīng)從主要技術(shù)職能演變?yōu)閼?zhàn)略性以及面向業(yè)務(wù)的職能,他們知道有效的威脅信息對于組織的成功和韌性至關(guān)重要。

只有亞馬遜云科技的全球規(guī)模

才能達(dá)到的高保真威脅信息

我們每一天都會對亞馬遜云科技的基礎(chǔ)設(shè)施進(jìn)行掃描、檢測和防御網(wǎng)絡(luò)攻擊。作為全球大型的云服務(wù)提供商,亞馬遜云科技對互聯(lián)網(wǎng)的某些實時活動,擁有獨到的洞察優(yōu)勢。但要讓威脅信息對安全產(chǎn)生有意義的影響,就必須收集來自整個互聯(lián)網(wǎng)的大量原始數(shù)據(jù)并迅速分析。同時,還必須剔除誤報。例如,威脅信息可能會錯誤地將員工在下班后登錄訪問敏感數(shù)據(jù)視為內(nèi)部威脅,而實際上該員工可能是因為臨時項目而不得不加班工作。威脅信息的生成非常耗時,需要大量人力和數(shù)字資源。

10418F97-3ABF-4F19-8019-8D095C6F845C.jpeg

為了應(yīng)對這些挑戰(zhàn),我們采用了人工智能和機(jī)器學(xué)習(xí)(AI/ML)技術(shù)來幫助分析師加快威脅信息生成的速度和準(zhǔn)確性。然而,如果無法收集和分析整個互聯(lián)網(wǎng)上的相關(guān)信息,威脅信息的用處就非常有限。對于時間敏感類信息,組織機(jī)構(gòu)即使能夠自行收集可操作的威脅信息,如果沒有覆蓋全球的云基礎(chǔ)設(shè)施,也很難或不可能及時并大規(guī)模地與他人共享。

通過亞馬遜云科技基礎(chǔ)設(shè)施生成的信息信號,我們顯著提高了威脅信息的準(zhǔn)確性,實現(xiàn)了我們所說的高保真。亞馬遜云科技復(fù)雜的全球分布式威脅傳感器網(wǎng)絡(luò)MadPot具有自動響應(yīng)功能,隨著我們使用MadPot發(fā)現(xiàn)和監(jiān)控潛在的有害活動,我們也在不斷提升應(yīng)對威脅參與者不斷演變的戰(zhàn)術(shù)的能力、技術(shù)和程序(TTP)的觀測和應(yīng)對能力。

通過亞馬遜云科技的全球網(wǎng)絡(luò)和像MadPot這樣的內(nèi)部工具,我們可以實時接收和分析數(shù)千種不同類型的事件信號。例如,MadPot每天能檢測到超過1億個來自全球的潛在威脅,其中約有50萬個被歸類為惡意活動。這意味著高保真的發(fā)現(xiàn)會生成有價值的威脅信息,我們因此可以迅速采取行動,保護(hù)世界各地的客戶免受有害和惡意在線活動的影響。我們也會將高保真信息產(chǎn)生的實時發(fā)現(xiàn)輸入到智能威脅檢測安全服務(wù)Amazon GuardDuty中,對數(shù)百萬個亞馬遜云科技賬戶進(jìn)行自動威脅檢測。

亞馬遜云科技Mithra評估域名可信度

幫助保護(hù)客戶免受威脅

識別惡意域名(互聯(lián)網(wǎng)上的物理IP地址)對于有效的威脅信息至關(guān)重要。當(dāng)亞馬遜云科技客戶與域名進(jìn)行交互時,Amazon GuardDuty會生成各種發(fā)現(xiàn)(如異常行為等潛在的安全問題),每個域名都會根據(jù)各種評估可信度的指標(biāo)得到一個信譽(yù)評分。為什么要進(jìn)行這種評分排名?維護(hù)一個高質(zhì)量的惡意域名列表對于監(jiān)控網(wǎng)絡(luò)犯罪行為和保護(hù)我們的客戶至關(guān)重要。

那么,如何完成這個龐大的評分任務(wù)的呢?我們可以將其想象成一個巨大的圖表,龐大到難以用人工查看和理解,更不用說從中提取有用的洞察了,這就需要Mithra的強(qiáng)大功能。

讓我們認(rèn)識一下Mithra:

Mithra這個名字源自一種神話中的升起的太陽,它是一個由亞馬遜云科技開發(fā)的大型內(nèi)部神經(jīng)網(wǎng)絡(luò)圖模型,使用為威脅信息而設(shè)計的算法。

Mithra的信譽(yù)評分系統(tǒng)具有35億個節(jié)點和480億條邊,專門用于識別客戶接觸到的惡意域名,并對這些域名進(jìn)行相應(yīng)的打分。我們每天觀察到大量DNS請求,僅在亞馬遜云科技一個區(qū)域就高達(dá)2,000萬億次,Mithra每天平均檢測到182,000個新的惡意域名。Mithra每天都會為每個在亞馬遜云科技內(nèi)查詢的域名算出一個信譽(yù)評分,這讓亞馬遜云科技不需要依賴第三方來檢測新興威脅,同時相比使用第三方能更快生成更好的知識。

Mithra不僅能夠以驚人的準(zhǔn)確性檢測惡意域名,減少誤報,而且這個超級圖還能夠比第三方的威脅信息源提前數(shù)天、數(shù)周,有時甚至數(shù)月預(yù)測惡意域名。這種強(qiáng)大的能力意味著我們每天都可以觀察到并應(yīng)對數(shù)百萬個安全事件和潛在威脅。

Mithra對域名進(jìn)行評分,可用于:

-生成一個新的、高度可信的惡意域名列表,用于諸如Amazon GuardDuty的安全服務(wù)中,保護(hù)我們的客戶。Amazon GuardDuty還允許客戶阻止惡意域名并獲取潛在威脅的警報。

-使用第三方威脅信息源的服務(wù)可以借助Mithra的評分來顯著減少誤報。

-亞馬遜云科技安全分析師可以在安全調(diào)查過程中使用這些評分作為額外的參考。

與客戶分享我們的高保真威脅信息,

提升他們的自我保護(hù)能力

我們不僅將威脅信息用于無縫增強(qiáng)亞馬遜云科技和客戶所依賴的安全服務(wù),還主動與那些可能會受到惡意行為者攻擊或潛在入侵的客戶和其他組織分享關(guān)鍵信息。威脅信息接收者可以通過評估我們分享的信息,采取措施來降低風(fēng)險,防止業(yè)務(wù)中斷。

BA2E92A5-93B4-4A64-AB59-FF73D2DCB755.jpeg

例如,通過我們的威脅信息,如果我們發(fā)現(xiàn)某些組織機(jī)構(gòu)的系統(tǒng)可能會被威脅行為者入侵,或似乎運行了配置錯誤且易受攻擊或濫用的系統(tǒng)(如開放數(shù)據(jù)庫),我們就會對這些組織機(jī)構(gòu)發(fā)出通知。網(wǎng)絡(luò)犯罪分子會持續(xù)掃描互聯(lián)網(wǎng)來尋找暴露的數(shù)據(jù)庫和其他漏洞,數(shù)據(jù)庫暴露的時間越長,惡意行為者發(fā)現(xiàn)并利用它的風(fēng)險就越高。在某些情況下,當(dāng)我們收到信號表明第三方組織(非客戶)可能會遭到威脅行為者入侵時,我們也會通知他們,因為這樣做可以阻止進(jìn)一步的攻擊,促進(jìn)整個互聯(lián)網(wǎng)的安全。

通常,當(dāng)我們向客戶和其他組織機(jī)構(gòu)發(fā)出此類問題的警報時,這是他們第一次意識到自己可能被入侵了。他們收到通知后,可以進(jìn)行調(diào)查來決定需要采取哪些措施來保護(hù)自己,防止可能導(dǎo)致中斷或進(jìn)一步攻擊的事件的發(fā)生。我們的通知通常還包括組織機(jī)構(gòu)可以采取的行動建議,例如審查特定域名的安全日志并阻止它們,實施緩解措施,更改配置,進(jìn)行取證調(diào)查,安裝最新補(bǔ)丁或?qū)⒒A(chǔ)設(shè)施置于網(wǎng)絡(luò)防火墻之后。這些主動行動能幫助相關(guān)組織機(jī)構(gòu)在潛在威脅發(fā)生之前就采取行動,而不是在事件發(fā)生后才做出反應(yīng)。

有時,我們通知的客戶和其他組織機(jī)構(gòu)也會反過來提供一些信息,讓我們能進(jìn)一步為他人提供幫助。如果受影響的組織機(jī)構(gòu)在調(diào)查后向我們提供相關(guān)的入侵指標(biāo)(indicators of compromise,IOC),這些信息可用于提升我們對入侵發(fā)生方式的理解。這種理解可能會帶來重要的洞察,我們可以與他人分享這些洞察,他們進(jìn)而利用這些信息采取行動來改善自身的安全態(tài)勢——這是一個良性循環(huán),通過協(xié)作促進(jìn)安全。例如,我們收到的信息可能會幫助我們了解一個社會工程學(xué)攻擊或特定的網(wǎng)絡(luò)釣魚活動是如何通過在受害者系統(tǒng)上安裝惡意軟件來破壞一個組織的安全?;蛘?,我們可能會收到用于實施入侵的零日漏洞信息,或了解如何使用一個遠(yuǎn)程代碼執(zhí)行(RCE)攻擊來運行惡意代碼和其他惡意軟件來竊取數(shù)據(jù)。然后,我們可以使用和分享這些信息來保護(hù)客戶和其他第三方。當(dāng)大家相互合作、共享資源、信息和專業(yè)知識時,這種協(xié)作和協(xié)調(diào)響應(yīng)會更加有效。

亞馬遜云科技運營著可靠的云基礎(chǔ)設(shè)施,這讓我們擁有獨特的視角觀測安全態(tài)勢和客戶每天面臨的威脅。我們分享的威脅信息提高了客戶和其他組織的安全性,這讓我們深受鼓舞,我們將繼續(xù)尋找更多能提供幫助的方式。

立即登錄,閱讀全文
原文鏈接:點擊前往 >
文章來源:亞馬遜云科技
版權(quán)說明:本文內(nèi)容來自于亞馬遜云科技,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
相關(guān)文章
AWS推動AI創(chuàng)新 re:Invent大會宣布數(shù)據(jù)中心性能重大升級
AWS推動AI創(chuàng)新 re:Invent大會宣布數(shù)據(jù)中心性能重大升級
AWS 2024年度re:Invent會議在美國拉斯維加斯舉行,席間隆重宣布數(shù)據(jù)中心組件將會升級,結(jié)合了電源、冷卻和硬件設(shè)計方面的創(chuàng)新,令可用性和效率都大大提升。
AWS
云服務(wù)
亞馬遜云科技
2024-12-25
Amazon EC2 Trn2實例正式可用,多款算力新品正式推出!
Amazon EC2 Trn2實例正式可用,多款算力新品正式推出!
在2024亞馬遜云科技re:Invent全球大會上,亞馬遜云科技宣布Amazon Trainium2 Server正式可用,并推出全新的Amazon Trainium2 UltraServer,讓用戶以優(yōu)越的性價比訓(xùn)練和部署最新的人工智能模型,以及未來的大語言模型(LLM)和基礎(chǔ)模型。
AWS
云服務(wù)
亞馬遜云科技
2024-12-14
重磅推出Amazon Nova模型系列
重磅推出Amazon Nova模型系列
在2024亞馬遜云科技re:Invent全球大會上,亞馬遜云科技宣布推出新一代基礎(chǔ)模型Amazon Nova,這些模型在多種任務(wù)上展現(xiàn)出頂尖智能,且具備行業(yè)領(lǐng)先的性價比。
AWS
云服務(wù)
亞馬遜云科技
2024-12-14
部署時間從數(shù)年減至數(shù)月,ERP讓業(yè)務(wù)增長起飛!
部署時間從數(shù)年減至數(shù)月,ERP讓業(yè)務(wù)增長起飛!
作為現(xiàn)代企業(yè)管理的中樞,卓越的ERP系統(tǒng)能夠提供企業(yè)一個集成化的平臺,實現(xiàn)財務(wù)、人力資源、供應(yīng)鏈和客戶服務(wù)等關(guān)鍵職能的自動化和智能化管理。
AWS
云服務(wù)
亞馬遜云科技
2024-12-14
優(yōu)質(zhì)服務(wù)商推薦
更多