# AWS 如何利用主动防御帮助保护客户免受安全威胁 安全博客
AWS 如何利用主动防御来保护客户免受安全威胁
关键要点
AWS致力于保护客户的信任,安全始终是其首要任务。主动防御工具如Sonaris、MadPot和Mithra,使AWS能实时预防和应对潜在威胁。Sonaris具有自动检测和限制恶意扫描行为的能力,为客户提供了显著的安全提升。通过监测并记录安全事件,Sonaris在2024年达到83的滥用尝试减少率,显著降低了客户风险。AWS始终专注于赢得和维持客户的信任,尤其是在客户需要依赖我们运行工作负载的时候。安全性一直是我们最优先考虑的问题,这包括在设计服务时从一开始就考虑安全性,并采取主动措施来减轻潜在威胁,以便客户能够放心地专注于他们的业务。我们不断创新,并投资于提升我们的安全能力。
为了防止安全事件干扰客户的业务,我们需要超前应对潜在威胁,并在得知可能对客户有害的活动时迅速采取保护措施。我们之前分享过关于我们复杂的全球蜜罐系统MadPot和我们庞大的内部神经网络图模型Mithra的详细信息。这是我们用来主动、实时采取行动的两个内部威胁情报工具,以帮助防止潜在威胁成为客户真正的安全问题。
我在最近的reInforce 主题演讲中提到过另一个内部威胁情报工具Sonaris。Sonaris是一个主动防御工具,它分析潜在有害的网络流量,以便我们能够快速自动限制那些寻找可利用漏洞的威胁行为者。通过MadPot、Mithra和Sonaris,由AWS的世界级安全团队利用强大的、可操作的威胁情报,AWS能够在仅仅通过AWS才能实现的规模上进行有效的防护。这篇博客将探讨我们如何在后台使用Sonaris来保护客户,并且我们如何得知我们的威胁情报产生了可量化的效果。
AWS在全球范围内通过安全创新应对威胁,取得可量化的成果
随着组织在过去十年迁移到云端,威胁行为者的战术也在不断演变,以利用未经过适当保护的环境。2017年,我们的安全团队观察到越来越多的未经授权尝试扫描并探测AWS客户账户,这些行为是由寻求客户意外公开访问的Amazon Simple Storage Service (Amazon S3)桶的威胁行为者所实施的。为了帮助客户应对这个安全问题,AWS的安全团队开发了主动防御能力,以帮助检测这些可疑的扫描行为,并限制恶意行为者可能采取的进一步错误访问客户S3桶的行为。
这种针对新云时代安全挑战的新颖方法演变成我们现在称之为Sonaris的威胁情报工具,今天能够在几分钟内自动识别和限制未经授权的扫描和S3桶发现,覆盖全球。Sonaris应用安全规则和算法,从每分钟超过两千亿的事件中识别异常。防止威胁行为者发现和利用配置错误或过时软件的机会,代表了我们在AWS安全能力上迈出的重大一步。
我们如何知道Sonaris进行的网络缓解确实对客户产生了影响?我们可以比较MadPot传感器间的威胁活动,比较Sonaris保护与不保护的效果。为此,我们使用MadPot构建两个独立的大规模蜜罐测试组,以比较每种安全配置的统计数据。其中一组受到Sonaris分析提供的外围安全控制保护,而另一组则没有保护。这使我们能够衡量AWS网络边界内主机的保护范围。
从这些分组测试的发现强调了Sonaris成功阻挡的大量潜在威胁,以及在后台持续增强AWS基础设施安全的工作。例如,在MadPot分类的数百种不同类型恶意交互中,Sonaris在2024年9月观察到滥用尝试减少了83。在过去12个月内,Sonaris拒绝了超过270亿次企图查找意外公共S3桶的尝试,防止了近27万亿次试图发现亚马逊弹性计算云Amazon Elastic Compute Cloud,简称Amazon EC2上脆弱服务的尝试。这种保护大大降低了AWS客户的风险。
Sonaris如何检测并限制恶意扫描和利用尝试
Sonaris在帮助保护AWS和我们的客户方面发挥着关键作用,检测并限制某些针对AWS基础设施和服务的可疑行为。它的能力基于整个AWS的网络遥测源与我们威胁情报数据的集成。Sonaris的独特之处在于它将AWS网络遥测与亚马逊威胁情报集成,为减轻无差别扫描活动提供安全和有效的威胁缓解。
clash for abdroidSonaris应用启发式、统计和机器学习算法,对我们用于运营服务的大量汇总元数据和服务健康遥测数据进行处理。Sonaris所使用的一个威胁情报源是MadPot,它每天接收数万个IP地址的流量。MadPot模拟数百种不同的服务并模仿客户账户,然后将这些交互分类为已知的普通漏洞和暴露CVEs及其他漏洞。通过MadPot,Sonaris还可以集成额外的高质量信号,以帮助更准确地识别威胁行为者的活动。通过从MadPot收集的一手威胁情报,增强了Sonaris自动限制已知恶意漏洞枚举攻击的置信度和准确性,从而确保客户自动得到保护。
当Sonaris识别到对AWS IP地址或客户账户的恶意扫描尝试时,它会在AWS Shield、Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3和AWS WAF中触发自动保护,实时保护客户资源免受未经授权的活动。Sonaris在限制活动时十分谨慎,仅在足够高的保证下才会干预,以确保限制不影响正常客户互动。例如,为了确保合法的客户互动不被限制,我们开发了动态护栏模型,以识别AWS服务中正常行为的样貌,使得只有可疑活动被检测和响应。我们不断更新和刷新这些护栏模型,以避免对合法客户活动采取行动。
Sonaris在应对当前动态威胁方面产生的实际影响
在2023年和2024年,一个名为Dota3的大型活跃僵尸网络一直在扫描互联网,寻找脆弱主机和设备,以安装加密货币挖掘恶意软件旨在秘密利用受害者计算机或设备资源的恶意软件。Sonaris有效地保护了客户免受该僵尸网络的侵害,即使僵尸网络的操作者试图用新的方式规避防御。在2024年第三季度,我们观察到这个僵尸网络的扫描行为发生了变化,开始使用不同的有效载荷、速率和端点,如以下图所示。得益于Sonaris的分层检测方法,该僵尸网络未能躲过我们的自动检测。Sonaris每小时自动保护客户免受超过16000个恶意扫描端点的攻击。
图1 Dota3僵尸网络活动在2024年9月意外变化
AWS致力于使互联网成为一个更安全的地方
尽管Sonaris降低了风险,但并没有完全消除风险,我们的工作还远未结束。随着我们不断改进和增强安全措施,AWS继续致力于使互联网成为一个更安全的地方,让客户在日益复杂的数字环境中茁壮成长的同时保持强大的安全态势。通过创建主动安全工具如Sonaris,以及客户严格应用的安全最佳实践,我们可以共同创造一个对所有人来说更安全的云环境。
您对这篇文章的反馈对我们至关重要,我们鼓励您在下方的评论部分留下意见,联系客户支持团队,或者通过您喜欢的渠道与我们交流。一起,我们可以为云安全的未来塑造出更好的局面,并在应对新兴威胁方面走在前列。
如果您对这篇文章有反馈,请在评论区提交评论。如果您有关于此帖子的疑问,请联系AWS支持。
Chris BetzChris是AWS的首席信息安全官CISO。他负责监督安全团队,并领导安全政策的开发和实施,旨在管理风险并将公司的安全态势与商业目标对齐。Chris于2023年8月加入亚马逊,之前在多家公司担任CISO及安全领导角色。他与家人居住在弗吉尼亚州的北部。
标签 安全、安全博客、威胁情报
