作者:亞馬遜首席資訊保安官C.J. Moses

來自全球各地的企業信任亞馬遜雲科技儲存及處理其最敏感的資料。業界領先的威脅情報是我們確保客戶在亞馬遜雲科技上的資料安全的一種方式,我們透過該專案識別和阻止各種可能危害或干擾我們客戶或我們基礎設施的惡意線上活動。我們非常重視制定準確、及時、可操作和可擴充套件的威脅情報,並在這方面投入了大量資源。

很多客戶非常想了解我們威脅情報的來源、我們檢測到了哪些威脅、我們如何根據所觀察到的內容採取行動,以及他們需要做什麼來保護他們自己。這些問題表明,首席資訊保安官(CISO)的角色已經從主要技術職能演變為戰略性以及面向業務的職能,他們知道有效的威脅情報對於組織的成功和韌性至關重要。

只有亞馬遜雲科技的全球規模才能達到的高保真威脅情報

我們每一天都會對亞馬遜雲科技的基礎設施進行掃描、檢測和防禦網路攻擊。作為全球最大的公共雲服務提供商,亞馬遜雲科技對網際網路的某些實時活動,擁有獨到的洞察優勢。但要讓威脅情報對安全產生有意義的影響,就必須收集來自整個網際網路的大量原始資料並迅速分析。同時,還必須剔除誤報。例如,威脅情報可能會錯誤地將員工在下班後登入訪問敏感資料視為內部威脅,而實際上該員工可能是因為臨時專案而不得不加班工作。威脅情報的生成非常耗時,需要大量人力和數字資源。人工智慧(AI)和機器學習可以幫助分析師篩選和分析大量資料。然而,如果無法收集和分析整個網際網路上的相關資訊,威脅情報的用處就非常有限。對於時間敏感類資訊,組織機構即使能夠自行收集可操作的威脅情報,如果沒有覆蓋全球的雲基礎設施,也很難或不可能及時並大規模地與他人共享。

亞馬遜雲科技的基礎設施徹底改變了威脅情報,我們透過大量情報訊號(由我們的安全工具生成的通知)顯著提高了威脅情報的準確性——即我們所說的高保真。亞馬遜雲科技複雜的全球分散式威脅感測器網路MadPot具有自動響應功能,隨著我們使用MadPot發現和監控潛在的有害活動,我們也在不斷提升針對威脅參與者不斷髮展的戰術、技術和程式(TTP)的觀測和應對能力。

透過亞馬遜雲科技的全球網路和像MadPot這樣的內部工具,我們可以實時接收和分析數千種不同型別的事件訊號。例如,MadPot每天能檢測到1億多個來自全球的潛在威脅,其中約有50萬個被歸類為惡意活動。這意味著高保真的發現會生成有價值的威脅情報,我們因此可以迅速採取行動,保護世界各地的客戶免受有害和惡意線上活動的影響。我們也會將高保真情報產生的實時發現輸入到我們的智慧威脅檢測安全服務Amazon GuardDuty中,對數百萬個亞馬遜雲科技賬戶進行自動威脅檢測。

亞馬遜雲科技的Mithra評估域名可信度,幫助保護客戶免受威脅

識別惡意域名(網際網路上的物理IP地址)對於有效的威脅情報至關重要。當亞馬遜雲科技客戶與域名進行互動時,GuardDuty會生成各種發現(如異常行為等潛在的安全問題),每個域名都會根據各種評估可信度的指標得到一個信譽評分。為什麼要進行這種評分排名?維護一個高質量的惡意域名列表對於監控網路犯罪行為、保護我們的客戶至關重要。我們如何完成這個龐大的評分排名任務?首先將它想象成一個龐大的圖表(可能是現存最大的圖表之一),大到人根本無法檢視和理解其全部內容,更不用說從中獲得可用的洞察了。

讓我們認識一下Mithra。Mithra這個名字源自一種神話中的升起的太陽,它是一個由亞馬遜雲科技開發的大型內部神經網路圖模型,使用為威脅情報而設計的演算法。

Mithra的信譽評分系統具有35億個節點和480億條邊,專門用於識別客戶接觸到的惡意域名,並對這些域名進行相應的打分。我們每天觀察到大量DNS請求,僅在亞馬遜雲科技一個區域就高達2000萬億次,Mithra每天平均檢測到182,000個新的惡意域名。Mithra每天都會為每個在亞馬遜雲科技內查詢的域名算出一個信譽評分,這讓亞馬遜雲科技不需要依賴第三方來檢測新興威脅,同時相比使用第三方能更快生成更好的知識。

Mithra不僅能夠以驚人的準確性檢測惡意域名,減少誤報,而且這個超級圖還能夠比第三方的威脅情報源提前數天、數週,有時甚至數月預測惡意域名。這種強大的能力意味著我們每天都可以觀察到並應對數百萬個安全事件和潛在威脅。

Mithra對域名進行評分,可用於:

  • 生成一個新的、高度可信的惡意域名列表,用於諸如GuardDuty之類的安全服務中,保護我們的客戶。GuardDuty還允許客戶阻止惡意域名並獲取潛在威脅的警報。
  • 使用第三方威脅情報源的服務可以藉助Mithra的評分來顯著減少誤報。
  • 亞馬遜雲科技安全分析師可以在安全調查過程中使用這些評分作為額外的參考。

與客戶分享我們高保真威脅情報,提升他們的自我保護能力

我們的威脅情報不僅用於無縫增強亞馬遜雲科技和客戶所依賴的安全服務,我們還主動與那些可能會受到惡意行為者攻擊或潛在入侵的客戶和其他組織分享關鍵資訊。威脅情報接收者可以透過評估我們分享的資訊,採取措施來降低風險,防止業務中斷。

例如,透過我們的威脅情報,如果我們發現某些組織機構的系統可能會被威脅行為者入侵,或似乎執行了配置錯誤且易受攻擊或濫用的系統(如開放資料庫),我們就會對這些組織機構發出通知。網路犯罪分子會持續掃描網際網路來尋找暴露的資料庫和其他漏洞,資料庫暴露的時間越長,惡意行為者發現並利用它的風險就越高。在某些情況下,當我們收到訊號表明第三方組織(非客戶)可能會遭到威脅行為者入侵時,我們也會通知他們,因為這樣做可以阻止進一步的攻擊,促進整個網際網路的安全。

通常,當我們向客戶和其他組織機構發出此類問題的警報時,這是他們第一次意識到自己可能被入侵了。他們收到通知後,可以進行調查來決定需要採取哪些措施來保護自己,防止可能導致中斷或進一步攻擊的事件的發生。我們的通知通常還包括組織機構可以採取的行動建議,例如審查特定域名的安全日誌並阻止它們,實施緩解措施,更改配置,進行取證調查,安裝最新補丁或將基礎設施置於網路防火牆之後。這些主動行動能幫助相關組織機構在潛在威脅發生之前就採取行動,而不是在事件發生後才做出反應。

有時,我們通知的客戶和其他組織機構也會反過來提供一些資訊,讓我們能進一步為他人提供幫助。如果受影響的組織機構在調查後向我們提供相關的入侵指標(indicators of compromise,IOC),這些資訊可用於提升我們對入侵發生方式的理解。這種理解可能會帶來重要的洞察,我們可以與他人分享這些洞察,他們進而利用這些資訊採取行動來改善自身的安全態勢——這是一個良性迴圈,透過協作促進安全。例如,我們收到的資訊可能會幫助我們瞭解一個社會工程學攻擊或特定的網路釣魚活動是如何透過在受害者系統上安裝惡意軟體來破壞一個組織的安全。或者,我們可能會收到用於實施入侵的零日漏洞資訊,或瞭解如何使用一個遠端程式碼執行(RCE)攻擊來執行惡意程式碼和其他惡意軟體來竊取資料。然後,我們可以使用和分享這些情報來保護客戶和其他第三方。當大家相互合作、共享資源、情報和專業知識時,這種協作和協調響應會更加有效。

亞馬遜雲科技運營著可靠的雲基礎設施,這讓我們擁有獨特的視角觀測安全態勢和客戶每天面臨的威脅。我們分享的威脅情報提高了客戶和其他組織的安全性,這讓我們深受鼓舞,我們將繼續尋找更多能提供幫助的方式。