【51CTO.com原創(chuàng)稿件】在今天的AWS re:Invent大會上，AWS公司公布了Amazon GuardDuty，一項(xiàng)全托管智能威脅檢測服務(wù)，能夠通過持續(xù)監(jiān)控帳戶活動并追蹤惡意或未授權(quán)行為的方式幫助客戶保護(hù)其AWS帳戶以及工作負(fù)載免受攻擊威脅?？蛻艨梢酝ㄟ^AWS管理控制臺進(jìn)行數(shù)次點(diǎn)擊以啟用Amazon GuardDuty，而后立即開始分析自身帳戶中的API調(diào)用以及網(wǎng)絡(luò)活動，由此建立起的“正常”帳戶活動基準(zhǔn)將被用于指導(dǎo)未來的威脅檢測工作。在此之后，Amazon GuarDuty會持續(xù)利用機(jī)器學(xué)習(xí)技術(shù)發(fā)現(xiàn)各類不符合正常模式的事件。Amazon GuardDuty可同時利用AWS開發(fā)的威脅情報(bào)資源與行業(yè)領(lǐng)先的第三方數(shù)據(jù)源進(jìn)行活動關(guān)聯(lián)。當(dāng)發(fā)現(xiàn)異常情況時，Amazon GuardDuty會向AWS帳戶的擁有者提供詳盡的安全警報(bào)，此警報(bào)具備可操作性且能夠輕松同現(xiàn)有事件管理與工作流程系統(tǒng)進(jìn)行集成。要使用Amazon GuardDuty，您不需要部署任何硬件或軟件，也不需要承擔(dān)第三方訂閱費(fèi)用; 客戶僅需要為實(shí)際分析的事件進(jìn)行付費(fèi)。

[[211946]]

隨著客戶越來越多地使用云服務(wù)，且越來越多地部署微服務(wù)架構(gòu)，相當(dāng)一部分客戶手中可能掌握著多達(dá)數(shù)十萬個AWS帳戶實(shí)例。在這種情況下，識別并評估此類規(guī)模下的多帳戶、網(wǎng)絡(luò)與實(shí)例中的異常行為，其難度無異于大海撈針。無論是掃描Web服務(wù)器尋找安全漏洞、監(jiān)控被惡意軟件或采礦程序感染的實(shí)例，還是尋找未經(jīng)授權(quán)的資源配置行為，安全團(tuán)隊(duì)都必須構(gòu)建或者集成多種工具以實(shí)現(xiàn)異常檢測。此外，客戶還必須收集API訪問與網(wǎng)絡(luò)流量日志，并將其與威脅情報(bào)源相關(guān)聯(lián)，從而利用算法識別基于已知威脅的異常狀況。另外需要強(qiáng)調(diào)的是，威脅本身往往會快速演變，這就要求算法自身也必須進(jìn)行有效調(diào)整?，F(xiàn)在，借助Amazon GuardDuty，客戶將能夠輕松部署智能威脅檢測機(jī)制，從而完成上述繁重且重復(fù)度極高的工作。在啟動之后，Amazon GuardDuty會立即開始利用AWS CloudTrail與Amazon VPC Flow Logs查找傳統(tǒng)解決方案可能漏掉的帳戶威脅指標(biāo)性信息，例如在從未使用過的服務(wù)區(qū)內(nèi)部署的異常實(shí)例類型，通過禁用AWS CloudTrail日志記錄以掩蓋用戶活動的行為等。Amazon GuardDuty會根據(jù)各個帳戶的AWS使用情況生成異常警報(bào)，而AWS會不斷更新Amazon GuardDuty所使用的威脅情報(bào)源。Amazon GuardDuty能夠立即啟用，且不會對現(xiàn)有應(yīng)用程序工作負(fù)載造成任何負(fù)面影響。

AWS首席信息安全官Stephen Schmidt表示：“客戶向我們反復(fù)重申，幫助他們保持安全的最佳方式就是為其提供更為智能的安全工具，從而使安全保障工作變得更加輕松。我們所設(shè)計(jì)的Amazon GuardDuty非常簡單、成本低廉，且不會對AWS客戶的安全專業(yè)知識或現(xiàn)有安全服務(wù)作出任何要求。Amazon GuardDuty以智能化方式識別各類難以察覺的威脅，揪出其對其它安全產(chǎn)品的滲透，并可輕松擴(kuò)展以滿足任何組織機(jī)構(gòu)的需求——無論其實(shí)際擁有數(shù)個抑或是數(shù)千個AWS帳戶。”

通用電氣是一家全球化數(shù)字工業(yè)公司，通過軟件定義型設(shè)備與解決方案幫助工業(yè)行業(yè)憑借連接性、響應(yīng)性與預(yù)測性能力實(shí)現(xiàn)封妻蔭子。該公司全球首席信息與產(chǎn)品安全官兼副總裁Nasrin Rezai指出，“安全一直是通用電氣所關(guān)注的重中之重，也是我們公司文化的根本所在。通用電氣在AWS之上運(yùn)行有數(shù)千款應(yīng)用程序。在我們的全球范圍AWS體系內(nèi)部署Amazon GuardDuty只需要數(shù)個小時，這將大大增強(qiáng)我們的威脅檢測能力。”

金融業(yè)監(jiān)管局(特立獨(dú)行FINRA)監(jiān)管著超過3900家證券公司，擁有約64萬家經(jīng)紀(jì)商，平均每天處理約6 TB數(shù)據(jù)與370億條記錄。FINRA網(wǎng)絡(luò)安全/CISO兼副總裁John Brady表示：“我們發(fā)現(xiàn)，云計(jì)算的安全性高于內(nèi)部環(huán)境。在AWS的幫助下，我們的團(tuán)隊(duì)能夠利用出色的工具實(shí)現(xiàn)修復(fù)、加密、審計(jì)與日志記錄、授權(quán)、合規(guī)性保障以及威脅檢測。我們很高興地看到這款新產(chǎn)品能夠幫助我們利用機(jī)器學(xué)習(xí)技術(shù)分析全部帳戶的活動，準(zhǔn)確檢測異常行為，并確保我們能夠快速作出針對性反應(yīng)。”

Netflix 公司是全球領(lǐng)先的互聯(lián)網(wǎng)娛樂服務(wù)企業(yè)，在190多個國家中擁有超過1.09億會員，每天播放的電視節(jié)目與電影時長超過1.25億小時。Netflix公司安全經(jīng)理Shaun Blackburn表示：“我們對Amazon GuardDuty的強(qiáng)大能力感到興奮。通過將流量日志的管理與監(jiān)控任務(wù)委托給AWS，我們得以擴(kuò)展自身檢測能力，同時立足Netflix自身的安全需求提升保障水平。AWS對于常見攻擊模式與趨勢擁有著深刻的理解。作為全球規(guī)模最大的云服務(wù)供應(yīng)商，其能夠幫助我們快速使用高復(fù)雜度模型。在Amazon GuardDuty的幫助下，我們得以繼續(xù)實(shí)現(xiàn)創(chuàng)新，從而為會員提供更為出色的便利性、選擇性以及實(shí)際價值。”

Mapbox是一套用于地圖、搜索與導(dǎo)航的位置數(shù)據(jù)平臺，每個月為超過3億最終用戶提供服務(wù)。其全部支持在AWS之上，范圍涵蓋10個服務(wù)區(qū)。該公司安全工程經(jīng)理Ian Ward表示：“Amazon GuardDuty能夠極大改善云入侵檢測，利用更先進(jìn)、更準(zhǔn)確且更易于維護(hù)的服務(wù)取代了大量內(nèi)部系統(tǒng)。我們能夠立即啟用Amazon GuardDuty，利用這一全托管且更加全面的服務(wù)取代以往的內(nèi)部大型安全工程項(xiàng)目。”

Autodesk公司是3D設(shè)計(jì)、工程與娛樂軟件領(lǐng)域的領(lǐng)導(dǎo)者。該公司云安全首席工程師Kolby Dauler表示：“我們給予開發(fā)人員充分的靈活性與自由性，同時亦需要保持自身堅(jiān)持的高安全標(biāo)準(zhǔn)，這一點(diǎn)非常重要。Amazon GuardDuty幫助我們保護(hù)開發(fā)人員所擁有的AWS帳戶，且不會因基礎(chǔ)設(shè)施監(jiān)控方案的安裝與維護(hù)而給其帶來額外負(fù)擔(dān)。利用Amazon GuardDuty，我們的安全團(tuán)隊(duì)還獲得了可操作的量化標(biāo)準(zhǔn)與可視性，并能夠更早參與決策，從而推動更理想的安全實(shí)踐方針。”

Amazon GuardDuty能夠?qū)⑷堪l(fā)現(xiàn)發(fā)送至AWS CloudWatch Events，并通過AWS SDK支持API端點(diǎn)，這意味著其能夠與第三方解決方案建立強(qiáng)大的互操作能力。目前，Alert Logic、Evident.io、Palo Alto Networks、Rapid7、Redlock、Splunk、Sumo Logic以及Trend Micro等領(lǐng)先安全方案供應(yīng)商都已經(jīng)與Amazon GuardDuty順利集成。如此一來，客戶將能夠更輕松地將Amazon GuardDuty納入現(xiàn)有安全工作流程當(dāng)中，從而進(jìn)行更為深入的分析與自動化預(yù)防工作。Amazon GuardDuty還整合了來自CrowdStrike、Proofpoint以及AWS安全團(tuán)隊(duì)的威脅情報(bào)源，有助于識別各類惡意行為者的活動并保護(hù)客戶免受其影響。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】