Amazon GuardDuty現(xiàn)能更全面?zhèn)蓽yEC2執(zhí)行實例憑證外泄風險

AWS更新威脅偵測服務Amazon GuardDuty，現(xiàn)在能夠檢測EC2執(zhí)行實例憑證被另一個AWS賬戶使用的情況，并且向用戶發(fā)出不同等級的警示。目前該新功能已經(jīng)在所有AWS地區(qū)提供，用戶不需要額外支付費用，當AWS賬戶激活GuardDuty服務，則默認會激活此新功能。

Amazon GuardDuy可以持續(xù)監(jiān)控惡意活動，或是未經(jīng)授權(quán)的行為，保護用戶的AWS賬戶、工作負載，以及存儲在S3中的資料。GuardDuty能夠分析事件、關(guān)注趨勢、模式，找出具有潛在問題的各種異常。而EC2執(zhí)行實例憑證則是通過EC2元數(shù)據(jù)服務，提供給執(zhí)行實例上所執(zhí)行的應用程序，一個臨時的憑證。

攻擊者可能入侵用戶EC2執(zhí)行實例上運行的應用程序，并設法訪問該執(zhí)行實例的元數(shù)據(jù)服務，如此攻擊者便能夠截取憑證，而這些憑證具有用戶在IAM角色定義，附加到執(zhí)行實例上的權(quán)限，因此根據(jù)應用程序功能不同，攻擊者有機會攻擊S3或是DynamoDB來竊取資料，啟動或是終止EC2執(zhí)行實例，甚至是創(chuàng)建新的IAM用戶或是角色。

GuardDuty具備能夠偵測從AWS外部IP，訪問這類憑證的情況，但是更聰明的攻擊者，可能會使用另一個AWS賬號，來進一步隱藏活動，以利用GuardDuty偵測范圍之外的方式活動。

不過，AWS服務API通信的來源IP地址，與EC2執(zhí)行實例IP地址不同，可能有其正當理由，考慮到流量路由到一個或是多個VPC的復雜網(wǎng)絡拓撲，像是AWS Transit Gateway或AWS Direct Connect。而且多區(qū)域配置或是不使用AWS Organizations，都會使得偵測憑證使用的AWS賬戶，變得非常困難。

不少大型企業(yè)使用自己的解決方案，來偵測和維護這類安全漏洞，但AWS提到，這類型解決方案不容易構(gòu)建和維護，僅有少數(shù)企業(yè)具有這樣的資源。因此AWS現(xiàn)在更新GuardDuy，使其能夠偵測來自AWS網(wǎng)絡內(nèi)，使用其他AWS賬戶使用憑證的情況，簡化解決問題的方法。

現(xiàn)在當GuardDuty偵測到EC2執(zhí)行實例憑證遭濫用時，便會生成警示，當從附屬賬戶使用憑證時，警示會被標記為中等嚴重性，否則將會出現(xiàn)高嚴重性警示，AWS提到，附屬賬戶可能是由同一個GuardDuty管理員賬戶監(jiān)控的賬戶，這些賬戶可能屬于組織，也可能并非組織的一部分。