來自全球的企業(yè)信任亞馬遜云科技存儲(chǔ)及處理其敏感數(shù)據(jù)���。
來自全球的企業(yè)信任亞馬遜云科技存儲(chǔ)及處理其敏感數(shù)據(jù)。業(yè)界領(lǐng)先的威脅信息是我們確?�?蛻粼趤嗰R遜云科技上的數(shù)據(jù)安全的一種方式��,我們通過該項(xiàng)目識(shí)別和阻止各種可能危害或干擾我們客戶及基礎(chǔ)設(shè)施的惡意在線活動(dòng)���。我們非常重視制定準(zhǔn)確、及時(shí)���、可操作和可擴(kuò)展的威脅信息�����,并在這方面投入了大量資源�。
很多客戶非常想了解我們威脅信息的來源、我們檢測(cè)到了哪些威脅����、我們?nèi)绾胃鶕?jù)所觀察到的內(nèi)容采取行動(dòng),以及他們需要做什么來保護(hù)他們自己����。這些問題表明,首席信息安全官的角色已經(jīng)從主要技術(shù)職能演變?yōu)閼?zhàn)略性以及面向業(yè)務(wù)的職能��,他們知道有效的威脅信息對(duì)于組織的成功和韌性至關(guān)重要�。
只有亞馬遜云科技的全球規(guī)模
才能達(dá)到的高保真威脅信息
我們每一天都會(huì)對(duì)亞馬遜云科技的基礎(chǔ)設(shè)施進(jìn)行掃描、檢測(cè)和防御網(wǎng)絡(luò)攻擊��。作為全球大型的云服務(wù)提供商�,亞馬遜云科技對(duì)互聯(lián)網(wǎng)的某些實(shí)時(shí)活動(dòng),擁有獨(dú)到的洞察優(yōu)勢(shì)�����。但要讓威脅信息對(duì)安全產(chǎn)生有意義的影響�����,就必須收集來自整個(gè)互聯(lián)網(wǎng)的大量原始數(shù)據(jù)并迅速分析。同時(shí)��,還必須剔除誤報(bào)����。例如,威脅信息可能會(huì)錯(cuò)誤地將員工在下班后登錄訪問敏感數(shù)據(jù)視為內(nèi)部威脅�,而實(shí)際上該員工可能是因?yàn)榕R時(shí)項(xiàng)目而不得不加班工作。威脅信息的生成非常耗時(shí)���,需要大量人力和數(shù)字資源��。
為了應(yīng)對(duì)這些挑戰(zhàn)���,我們采用了人工智能和機(jī)器學(xué)習(xí)(AI/ML)技術(shù)來幫助分析師加快威脅信息生成的速度和準(zhǔn)確性。然而����,如果無法收集和分析整個(gè)互聯(lián)網(wǎng)上的相關(guān)信息��,威脅信息的用處就非常有限�����。對(duì)于時(shí)間敏感類信息,組織機(jī)構(gòu)即使能夠自行收集可操作的威脅信息��,如果沒有覆蓋全球的云基礎(chǔ)設(shè)施����,也很難或不可能及時(shí)并大規(guī)模地與他人共享。
通過亞馬遜云科技基礎(chǔ)設(shè)施生成的信息信號(hào)��,我們顯著提高了威脅信息的準(zhǔn)確性����,實(shí)現(xiàn)了我們所說的高保真。亞馬遜云科技復(fù)雜的全球分布式威脅傳感器網(wǎng)絡(luò)MadPot具有自動(dòng)響應(yīng)功能�����,隨著我們使用MadPot發(fā)現(xiàn)和監(jiān)控潛在的有害活動(dòng)���,我們也在不斷提升應(yīng)對(duì)威脅參與者不斷演變的戰(zhàn)術(shù)的能力�、技術(shù)和程序(TTP)的觀測(cè)和應(yīng)對(duì)能力����。
通過亞馬遜云科技的全球網(wǎng)絡(luò)和像MadPot這樣的內(nèi)部工具����,我們可以實(shí)時(shí)接收和分析數(shù)千種不同類型的事件信號(hào)����。例如,MadPot每天能檢測(cè)到超過1億個(gè)來自全球的潛在威脅�,其中約有50萬個(gè)被歸類為惡意活動(dòng)。這意味著高保真的發(fā)現(xiàn)會(huì)生成有價(jià)值的威脅信息���,我們因此可以迅速采取行動(dòng)��,保護(hù)世界各地的客戶免受有害和惡意在線活動(dòng)的影響��。我們也會(huì)將高保真信息產(chǎn)生的實(shí)時(shí)發(fā)現(xiàn)輸入到智能威脅檢測(cè)安全服務(wù)Amazon GuardDuty中�����,對(duì)數(shù)百萬個(gè)亞馬遜云科技賬戶進(jìn)行自動(dòng)威脅檢測(cè)��。
亞馬遜云科技Mithra評(píng)估域名可信度
幫助保護(hù)客戶免受威脅
識(shí)別惡意域名(互聯(lián)網(wǎng)上的物理IP地址)對(duì)于有效的威脅信息至關(guān)重要�����。當(dāng)亞馬遜云科技客戶與域名進(jìn)行交互時(shí)����,Amazon GuardDuty會(huì)生成各種發(fā)現(xiàn)(如異常行為等潛在的安全問題)���,每個(gè)域名都會(huì)根據(jù)各種評(píng)估可信度的指標(biāo)得到一個(gè)信譽(yù)評(píng)分�。為什么要進(jìn)行這種評(píng)分排名�����?維護(hù)一個(gè)高質(zhì)量的惡意域名列表對(duì)于監(jiān)控網(wǎng)絡(luò)犯罪行為和保護(hù)我們的客戶至關(guān)重要��。
那么��,如何完成這個(gè)龐大的評(píng)分任務(wù)的呢�����?我們可以將其想象成一個(gè)巨大的圖表����,龐大到難以用人工查看和理解,更不用說從中提取有用的洞察了��,這就需要Mithra的強(qiáng)大功能�����。
讓我們認(rèn)識(shí)一下Mithra:
Mithra這個(gè)名字源自一種神話中的升起的太陽,它是一個(gè)由亞馬遜云科技開發(fā)的大型內(nèi)部神經(jīng)網(wǎng)絡(luò)圖模型�,使用為威脅信息而設(shè)計(jì)的算法。
Mithra的信譽(yù)評(píng)分系統(tǒng)具有35億個(gè)節(jié)點(diǎn)和480億條邊���,專門用于識(shí)別客戶接觸到的惡意域名�,并對(duì)這些域名進(jìn)行相應(yīng)的打分��。我們每天觀察到大量DNS請(qǐng)求���,僅在亞馬遜云科技一個(gè)區(qū)域就高達(dá)2,000萬億次�,Mithra每天平均檢測(cè)到182,000個(gè)新的惡意域名��。Mithra每天都會(huì)為每個(gè)在亞馬遜云科技內(nèi)查詢的域名算出一個(gè)信譽(yù)評(píng)分���,這讓亞馬遜云科技不需要依賴第三方來檢測(cè)新興威脅��,同時(shí)相比使用第三方能更快生成更好的知識(shí)���。
Mithra不僅能夠以驚人的準(zhǔn)確性檢測(cè)惡意域名,減少誤報(bào),而且這個(gè)超級(jí)圖還能夠比第三方的威脅信息源提前數(shù)天���、數(shù)周,有時(shí)甚至數(shù)月預(yù)測(cè)惡意域名����。這種強(qiáng)大的能力意味著我們每天都可以觀察到并應(yīng)對(duì)數(shù)百萬個(gè)安全事件和潛在威脅。
Mithra對(duì)域名進(jìn)行評(píng)分,可用于:
-生成一個(gè)新的�、高度可信的惡意域名列表,用于諸如Amazon GuardDuty的安全服務(wù)中�����,保護(hù)我們的客戶�。Amazon GuardDuty還允許客戶阻止惡意域名并獲取潛在威脅的警報(bào)�����。
-使用第三方威脅信息源的服務(wù)可以借助Mithra的評(píng)分來顯著減少誤報(bào)。
-亞馬遜云科技安全分析師可以在安全調(diào)查過程中使用這些評(píng)分作為額外的參考��。
與客戶分享我們的高保真威脅信息,
提升他們的自我保護(hù)能力
我們不僅將威脅信息用于無縫增強(qiáng)亞馬遜云科技和客戶所依賴的安全服務(wù)����,還主動(dòng)與那些可能會(huì)受到惡意行為者攻擊或潛在入侵的客戶和其他組織分享關(guān)鍵信息���。威脅信息接收者可以通過評(píng)估我們分享的信息�����,采取措施來降低風(fēng)險(xiǎn),防止業(yè)務(wù)中斷�。
例如,通過我們的威脅信息���,如果我們發(fā)現(xiàn)某些組織機(jī)構(gòu)的系統(tǒng)可能會(huì)被威脅行為者入侵�����,或似乎運(yùn)行了配置錯(cuò)誤且易受攻擊或?yàn)E用的系統(tǒng)(如開放數(shù)據(jù)庫)��,我們就會(huì)對(duì)這些組織機(jī)構(gòu)發(fā)出通知。網(wǎng)絡(luò)犯罪分子會(huì)持續(xù)掃描互聯(lián)網(wǎng)來尋找暴露的數(shù)據(jù)庫和其他漏洞��,數(shù)據(jù)庫暴露的時(shí)間越長(zhǎng)���,惡意行為者發(fā)現(xiàn)并利用它的風(fēng)險(xiǎn)就越高����。在某些情況下,當(dāng)我們收到信號(hào)表明第三方組織(非客戶)可能會(huì)遭到威脅行為者入侵時(shí)��,我們也會(huì)通知他們,因?yàn)檫@樣做可以阻止進(jìn)一步的攻擊���,促進(jìn)整個(gè)互聯(lián)網(wǎng)的安全����。
通常��,當(dāng)我們向客戶和其他組織機(jī)構(gòu)發(fā)出此類問題的警報(bào)時(shí)��,這是他們第一次意識(shí)到自己可能被入侵了����。他們收到通知后,可以進(jìn)行調(diào)查來決定需要采取哪些措施來保護(hù)自己�,防止可能導(dǎo)致中斷或進(jìn)一步攻擊的事件的發(fā)生�。我們的通知通常還包括組織機(jī)構(gòu)可以采取的行動(dòng)建議�,例如審查特定域名的安全日志并阻止它們�����,實(shí)施緩解措施���,更改配置�����,進(jìn)行取證調(diào)查��,安裝最新補(bǔ)丁或?qū)⒒A(chǔ)設(shè)施置于網(wǎng)絡(luò)防火墻之后。這些主動(dòng)行動(dòng)能幫助相關(guān)組織機(jī)構(gòu)在潛在威脅發(fā)生之前就采取行動(dòng)���,而不是在事件發(fā)生后才做出反應(yīng)�����。
有時(shí)�����,我們通知的客戶和其他組織機(jī)構(gòu)也會(huì)反過來提供一些信息����,讓我們能進(jìn)一步為他人提供幫助��。如果受影響的組織機(jī)構(gòu)在調(diào)查后向我們提供相關(guān)的入侵指標(biāo)(indicators of compromise���,IOC)����,這些信息可用于提升我們對(duì)入侵發(fā)生方式的理解����。這種理解可能會(huì)帶來重要的洞察�,我們可以與他人分享這些洞察�,他們進(jìn)而利用這些信息采取行動(dòng)來改善自身的安全態(tài)勢(shì)——這是一個(gè)良性循環(huán)����,通過協(xié)作促進(jìn)安全��。例如����,我們收到的信息可能會(huì)幫助我們了解一個(gè)社會(huì)工程學(xué)攻擊或特定的網(wǎng)絡(luò)釣魚活動(dòng)是如何通過在受害者系統(tǒng)上安裝惡意軟件來破壞一個(gè)組織的安全。或者��,我們可能會(huì)收到用于實(shí)施入侵的零日漏洞信息���,或了解如何使用一個(gè)遠(yuǎn)程代碼執(zhí)行(RCE)攻擊來運(yùn)行惡意代碼和其他惡意軟件來竊取數(shù)據(jù)����。然后��,我們可以使用和分享這些信息來保護(hù)客戶和其他第三方��。當(dāng)大家相互合作�����、共享資源�����、信息和專業(yè)知識(shí)時(shí),這種協(xié)作和協(xié)調(diào)響應(yīng)會(huì)更加有效��。
亞馬遜云科技運(yùn)營(yíng)著可靠的云基礎(chǔ)設(shè)施��,這讓我們擁有獨(dú)特的視角觀測(cè)安全態(tài)勢(shì)和客戶每天面臨的威脅�。我們分享的威脅信息提高了客戶和其他組織的安全性����,這讓我們深受鼓舞�����,我們將繼續(xù)尋找更多能提供幫助的方式����。
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
