Chris Betz,亞馬遜云科技首席信息安全官
北京2024年11月6日 /美通社/ -- 亞馬遜云科技一直致力于贏得并維護客戶對我們的信賴。安全是我們的首要任務,我們一開始在服務設計階段就將安全考慮其中,并采取主動措施減少潛在安全威脅,讓客戶專注于自己的業務。為了提高安全能力,我們不斷地創新和投入。
為了防止安全事件對客戶業務產生影響,我們需要始終走在潛在威脅的前面,一旦意識到有活動可能對客戶產生不好影響,就能迅速行動來保護客戶。我們之前介紹過我們復雜的全球蜜罐系統MadPot和我們龐大的內部神經網絡圖模型Mithra。它們是我們兩個內部威脅情報工具的例子,讓我們能采取主動的、實時的行動來防止潛在威脅變為真正影響客戶安全問題。
我在今年的re:Inforce大會上介紹過我們的另一個內部威脅情報工具——Sonaris。Sonaris是一種主動防御工具,可分析潛在有害的網絡流量,讓我們可以迅速并自動限制那些尋找漏洞并加以利用的威脅攻擊者。我們的安全團隊憑借MadPot、Mithra和Sonaris,為亞馬遜云科技裝備了強大的、可操作的大規模威脅情報,而這種規模只有亞馬遜云科技才能實現。下面我將介紹我們為什么以及如何使用Sonaris來保護我們的客戶,以及如何量化衡量威脅情報產生的影響。
亞馬遜云科技以全球規模憑借安全創新幫助客戶應對威脅挑戰,并取得可量化的成果
過去十年中,隨著越來越多的組織機構遷移到云端,威脅攻擊者也在不斷升級策略尋找未經適當安全保護的環境。2017年,我們的安全團隊觀察到大量未經授權的掃描嘗試(通過數字方式和工具進行系統檢掃描和探測亞馬遜云科技的客戶賬戶——威脅攻擊者通過這些活動,來尋找客戶在無意中配置為可公開訪問的 Amazon Simple Storage Service (Amazon S3)存儲桶。為了幫助客戶解決這種安全問題,亞馬遜云科技安全團隊開發了主動防御功能,檢測此類可疑的掃描行為,然后限制攻擊者可能采取的進一步訪問客戶S3存儲桶的不當行為。
這種應對云時代新的安全挑戰的方法到現在已經演變成為我們的威脅情報工具Sonaris,如今它可以在幾分鐘內在全球范圍內識別并自動限制未經授權的掃描和發現S3存儲桶的行為。Sonaris應用安全規則和算法每分鐘可識別2,000億次事件中的異常情況。亞馬遜云科技阻止威脅攻擊者嘗試發現并利用錯誤配置或過期軟件的不當行為,顯示了我們在安全能力的重大提升。
我們如何衡量Sonaris應對網絡流量攻擊實際對客戶產生的影響?我們可以比較有無Sonaris保護的MadPot傳感器之間的威脅活動。為此,我們使用MadPot構建兩個獨立的大規模蜜罐測試組,來比較每種安全配置的統計數據。一組受到基于Sonaris分析的邊界安全控制保護,另一個獨立的集群則沒有受到任何保護。這讓我們可以衡量亞馬遜云科技網絡邊界內主機的防護覆蓋范圍。
這些分組測試的結果顯示Sonaris設法阻止了數量巨大的潛在威脅,也彰顯了其背后不斷增強的亞馬遜云科技基礎設施的安全性。例如,在MadPot分類的數百種不同類型的惡意交互中,在2024年9月,Sonaris顯示其中不當嘗試減少了83%。在過去12個月中,Sonaris拒絕了超過270億次嘗試查找無意公開的S3存儲桶,并阻止了近2.7萬億次嘗試發現Amazon Elastic Compute Cloud (Amazon EC2)上的服務漏洞。這種保護極大地降低了亞馬遜云科技客戶的風險。
Sonaris如何檢測并限制不當掃描和攻擊
Sonaris在保護亞馬遜云科技和我們客戶方面發揮著至關重要的作用,它檢測并限制那些針對亞馬遜云科技基礎設施和服務的可疑行為。它的功能是基于亞馬遜云科技的網絡監控數據源以及我們的威脅情報數據而構建的。Sonaris與眾不同之處在于,它將亞馬遜云科技網絡遙監控亞馬遜威脅情報相結合,通過提供安全有效的威脅防御,減少無差別的掃描活動。
針對我們服務生成的大量匯總元數據和服務健康狀況監控數據,Sonaris應用啟發式、統計和機器學習算法。MadPot是Sonaris使用的一個威脅情報源,每天會接收來自數萬個IP地址的流量。MadPot模擬數百種不同的服務,并模仿客戶賬戶,然后將這些交互分類為已知的常見漏洞和風險(Common Vulnerabilities and Exposures, CVEs)和其他漏洞。通過MadPot,Sonaris還可以整合其他高保真度信號,以更高精度識別威脅參與者的活動。從MadPot收集的第一方威脅情報提高了Sonaris自動限制已知惡意漏洞枚舉攻擊的可靠性和準確性,從而實現了對客戶的自動保護。
當Sonaris識別出惡意嘗試掃描亞馬遜云科技IP地址或客戶賬戶時,它會觸發Amazon Shield、 Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3和 Amazon WAF的自動保護,實時自動保護客戶資源免受未經授權活動的影響。Sonaris對限制哪些活動非常的謹慎,只在有足夠高的把握認為交互是惡意的情況下才會干預。例如,為了確保不會限制合法的客戶交互,我們開發了動態護欄模型來識別亞馬遜云科技服務中正常運行的行為,以便只檢測和應對可疑活動。我們不斷更新和刷新這些護欄模型,加入我們最新的觀察,來避免對合法的客戶活動采取行動。
Sonaris針對動態威脅防御正產生廣泛的實際影響
在2023年和2024年期間,一個名為Dota3的大型活躍僵尸網絡一直在掃描互聯網,尋找易受攻擊的主機和設備來安裝惡意軟件(通過秘密利用受害者的計算機或設備資源的惡意軟件)。Sonaris一直有效地保護客戶免受這個僵尸網絡的攻擊,即使僵尸網絡操作員試圖采用新方式規避防御。在2024年第三季度,我們觀察到這個僵尸網絡的掃描行為發生變化,開始使用不同的載荷、速率和端點。多虧了Sonaris分層檢測方法,讓這個僵尸網絡無法避免我們的自動檢測。Sonaris自動保護客戶免受每小時超過16,000個惡意掃描端點的攻擊。
亞馬遜云科技致力于讓互聯網變得更加安全
盡管Sonaris能夠降低風險,但它無法完全消除風險,為此我們的工作還遠未結束。我們將持續發展和加強安全措施,亞馬遜云科技將繼續致力于讓互聯網變得更加安全,讓客戶能夠在日益復雜的數字環境中快速發展的同時保持強大的安全態勢。通過創建像Sonaris這樣的主動安全工具,以及客戶積極采用安全最佳實踐,我們將共同創建一個更加安全的云環境。
