GuardDuty 带来的福音:帮助用户摆脱潜在的安全威胁

阅读数:258 2017 年 11 月 29 日

话题:AWS语言 & 开发架构文化 & 方法

11 月 28 日(拉斯维加斯当地时间),AWS 发布了新的威胁检测服务 Amazon GuardDuty。

基于大量公共数据和 AWS 生成的数据反馈以及来自机器学习的识别,Amazon GuardDuty 分析了数十亿个事件,以追踪趋势、模式和异常。它的发布旨在帮助亚马逊公司的用户摆脱潜在的安全威胁。

在 AWS 观念中,IT 基础架构(AWS 账户和凭证、AWS 资源、客户操作系统和应用程序)的威胁形形色色。 网络世界可能到处存在危险,AWS 希望确保客户拥有防范的工具、知识和视角,以保证 IT 基础架构安全无虞。

GuardDuty 是如何工作的

GuardDuty 可使用多个数据流,采用机器学习来识别威胁,它将学习如何准确识别 AWS 帐户中的恶意或未授权行为。结合用户的 VPC 流日志、AWS CloudTrail 事件日志和 DNS 日志收集的信息,可以让 GuardDuty 检测许多不同类型的威胁行为,包括探测已知的漏洞、端口扫描以及异常位置访问等。

GuardDuty 不仅可以寻找可疑的 AWS 帐户活动,如未经授权的部署、异常的 CloudTrail 活动,监视 API 的使用,此外,它还将寻找与恶意实体或服务交换的受损 EC2 实例或正在挖掘加密货币的实例。更令人惊喜的一点是,GuardDuty 完全在 AWS 基础架构上运行。 您不需要安装或管理任何代理、传感器或网络设备即可使用。 

如果检测到任何问题,GuardDuty 会以三个级别(低、中、高)对问题进行分类,并为用户提供详细的数据和解决方案。 用户还可以将 GuardDuty 警报推送到 Splunk,Sumo Logic 和 PagerDuty 等事件管理系统以及 JIRA,ServiceNow 和 Slack 等工作流系统中。    

配置错误也在 GuardDuty 的监视范围内

正如 AWS 在演讲中所强调的,大多数安全错误都是由错误的配置而引起。像这些配置错误,也在 GuardDuty 的监视范围之内。公司强调,避免这些问题的最好办法是使用工具。如果让人类远离数据,那么很多问题就可以得到避免。事实上,在 AWS 只有一名安全工程师负责各种特殊问题(当然还有一些随时待命的后援工程师,以防不测)。