亚马逊云科技如何通过主动防御保护客户免受安全威胁

Chris Betz,亚马逊云科技首席信息安全官

亚马逊云科技一直致力于赢得并维护客户对我们的信赖。安全是我们的首要任务,我们一开始在服务设计阶段就将安全考虑其中,并采取主动措施减少潜在安全威胁,让客户专注于自己的业务。为了提高安全能力,我们不断地创新和投入。

为了防止安全事件对客户业务产生影响,我们需要始终走在潜在威胁的前面,一旦意识到有活动可能对客户产生不好影响,就能迅速行动来保护客户。我们之前介绍过我们复杂的全球蜜罐系统MadPot和我们庞大的内部神经网络图模型Mithra。它们是我们两个内部威胁情报工具的例子,让我们能采取主动的、实时的行动来防止潜在威胁变为真正影响客户安全问题。

我在今年的re:Inforce大会上介绍过我们的另一个内部威胁情报工具——Sonaris。Sonaris是一种主动防御工具,可分析潜在有害的网络流量,让我们可以迅速并自动限制那些寻找漏洞并加以利用的威胁攻击者。我们的安全团队凭借MadPot、Mithra和Sonaris,为亚马逊云科技装备了强大的、可操作的大规模威胁情报,而这种规模只有亚马逊云科技才能实现。下面我将介绍我们为什么以及如何使用Sonaris来保护我们的客户,以及如何量化衡量威胁情报产生的影响。

亚马逊云科技以全球规模凭借安全创新帮助客户应对威胁挑战,并取得可量化的成果

过去十年中,随着越来越多的组织机构迁移到云端,威胁攻击者也在不断升级策略寻找未经适当安全保护的环境。2017年,我们的安全团队观察到大量未经授权的扫描尝试(通过数字方式和工具进行系统检扫描和探测亚马逊云科技的客户账户——威胁攻击者通过这些活动,来寻找客户在无意中配置为可公开访问的 Amazon Simple Storage Service (Amazon S3)存储桶。为了帮助客户解决这种安全问题,亚马逊云科技安全团队开发了主动防御功能,检测此类可疑的扫描行为,然后限制攻击者可能采取的进一步访问客户S3存储桶的不当行为。

这种应对云时代新的安全挑战的方法到现在已经演变成为我们的威胁情报工具Sonaris,如今它可以在几分钟内在全球范围内识别并自动限制未经授权的扫描和发现S3存储桶的行为。Sonaris应用安全规则和算法每分钟可识别2,000亿次事件中的异常情况。亚马逊云科技阻止威胁攻击者尝试发现并利用错误配置或过期软件的不当行为,显示了我们在安全能力的重大提升。

我们如何衡量Sonaris应对网络流量攻击实际对客户产生的影响?我们可以比较有无Sonaris保护的MadPot传感器之间的威胁活动。为此,我们使用MadPot构建两个独立的大规模蜜罐测试组,来比较每种安全配置的统计数据。一组受到基于Sonaris分析的边界安全控制保护,另一个独立的集群则没有受到任何保护。这让我们可以衡量亚马逊云科技网络边界内主机的防护覆盖范围。

这些分组测试的结果显示Sonaris设法阻止了数量巨大的潜在威胁,也彰显了其背后不断增强的亚马逊云科技基础设施的安全性。例如,在MadPot分类的数百种不同类型的恶意交互中,在2024年9月,Sonaris显示其中不当尝试减少了83%。在过去12个月中,Sonaris拒绝了超过270亿次尝试查找无意公开的S3存储桶,并阻止了近2.7万亿次尝试发现Amazon Elastic Compute Cloud (Amazon EC2)上的服务漏洞。这种保护极大地降低了亚马逊云科技客户的风险。

Sonaris如何检测并限制不当扫描和攻击

Sonaris在保护亚马逊云科技和我们客户方面发挥着至关重要的作用,它检测并限制那些针对亚马逊云科技基础设施和服务的可疑行为。它的功能是基于亚马逊云科技的网络监控数据源以及我们的威胁情报数据而构建的。Sonaris与众不同之处在于,它将亚马逊云科技网络遥监控亚马逊威胁情报相结合,通过提供安全有效的威胁防御,减少无差别的扫描活动。

针对我们服务生成的大量汇总元数据和服务健康状况监控数据,Sonaris应用启发式、统计和机器学习算法。MadPot是Sonaris使用的一个威胁情报源,每天会接收来自数万个IP地址的流量。MadPot模拟数百种不同的服务,并模仿客户账户,然后将这些交互分类为已知的常见漏洞和风险(Common Vulnerabilities and Exposures, CVEs)和其他漏洞。通过MadPot,Sonaris还可以整合其他高保真度信号,以更高精度识别威胁参与者的活动。从MadPot收集的第一方威胁情报提高了Sonaris自动限制已知恶意漏洞枚举攻击的可靠性和准确性,从而实现了对客户的自动保护。

当Sonaris识别出恶意尝试扫描亚马逊云科技IP地址或客户账户时,它会触发Amazon Shield、 Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3和 Amazon WAF的自动保护,实时自动保护客户资源免受未经授权活动的影响。Sonaris对限制哪些活动非常的谨慎,只在有足够高的把握认为交互是恶意的情况下才会干预。例如,为了确保不会限制合法的客户交互,我们开发了动态护栏模型来识别亚马逊云科技服务中正常运行的行为,以便只检测和应对可疑活动。我们不断更新和刷新这些护栏模型,加入我们最新的观察,来避免对合法的客户活动采取行动。

Sonaris针对动态威胁防御正产生广泛的实际影响

在2023年和2024年期间,一个名为Dota3的大型活跃僵尸网络一直在扫描互联网,寻找易受攻击的主机和设备来安装加密货币挖矿的恶意软件(通过秘密利用受害者的计算机或设备资源的恶意软件)。Sonaris一直有效地保护客户免受这个僵尸网络的攻击,即使僵尸网络操作员试图采用新方式规避防御。在2024年第三季度,我们观察到这个僵尸网络的扫描行为发生变化,开始使用不同的载荷、速率和端点。多亏了Sonaris分层检测方法,让这个僵尸网络无法避免我们的自动检测。Sonaris自动保护客户免受每小时超过16,000个恶意扫描端点的攻击。

亚马逊云科技致力于让互联网变得更加安全

尽管Sonaris能够降低风险,但它无法完全消除风险,为此我们的工作还远未结束。我们将持续发展和加强安全措施,亚马逊云科技将继续致力于让互联网变得更加安全,让客户能够在日益复杂的数字环境中快速发展的同时保持强大的安全态势。通过创建像Sonaris这样的主动安全工具,以及客户积极采用安全最佳实践,我们将共同创建一个更加安全的云环境。