北京——2023年4月26日,亚马逊云科技日前宣布为其威胁检测服务Amazon GuardDuty增加三项新功能——扩大检测覆盖范围、持续强化该服务的能力、异常检测和集成威胁情报,进一步提升对客户工作负载的安全保护。亚马逊云科技为客户提供了广泛的安全服务,其中Amazon GuardDuty可帮助客户识别潜在安全风险并快速响应,让其安全团队专注于其他更有价值的事务上。GuardDuty的三项新功能将其保护的覆盖范围扩展到容器运行时活动、和Serverless环境。其中,EKS Runtime Monitoring提升了对客户容器化工作负载的威胁检测,GuardDuty RDS Protection帮助客户保护其存储在Amazon Aurora中的数据,GuardDuty Lambda Protection帮助客户检测Serverless应用程序所面临的威胁。
对安全相关事件的收集、合成、告警的能力是所有企业风险管理项目的基础。但客户在其整个组织内要整合以及规模化安全检测和响应面临越多越大的挑战,包括网络安全覆盖范围的不断升级,来自不同供应商、不同维度的多种安全工具,甚至IT安全专家的短缺。很多安全团队不得不构建或集成多种工具来检测异常,如网络服务器漏洞、用于服务恶意软件或挖掘加密货币的受损实例,或泄露的访问凭据。这些挑战会导致效率低下、数据不一致以及成本增加。此外,办公地点的变化和威胁的不断升级要求首席信息安全官(CISO)持续提高企业的安全标准,来满足企业使用云、远程办公和与第三方基础设施集成的需求。为了应对企业在数字化转型过程中面临的新安全漏洞、错误配置和其他IT风险,客户对云威胁检测、安全分析、云安全管理和威胁情报等技术和服务的需求一直在上升。
凭借 Amazon GuardDuty在机器学习、异常检测的持续创新,以及亚马逊云科技在全球范围内不断积累并集成的威胁情报,Amazon GuardDuty可帮助保护客户免受最新威胁的影响。客户只需在亚马逊云科技控制台上点击几下,就可以跨多个账户使用GuardDuty并启动自动响应解除威胁,客户的这些账户可以跨亚马逊云科技多个区域。亚马逊云科技自2017年推出GuardDuty以来,已经为其增加了100多项新的威胁检测功能,包括检测到即便使用了高超规避技术的凭据泄露和受损功能。GuardDuty使用机器学习进行检测,并针对识别高度可疑的数据访问、以及任何潜在Amazon Elastic Compute Cloud(Amazon EC2)威胁进行了机器学习训练,使用集成的威胁情报来检测恶意软件和对容器、数据库和无服务器服务的恶意访问。GuardDuty预集成了来自亚马逊云科技以及行业领先的第三方提供商如CrowdStrike、Proofpoint、Bitdefender等的威胁情报源,并持续更新。亚马逊云科技的威胁情报具有广泛的全球覆盖优势,可帮助客户应对全球最新威胁,包括新出现的基于Linux的恶意软件、不断演变的凭据窃取技术,以及使用基于机器学习的信誉模型识别的新恶意领域。此外,亚马逊云科技通过与光环新网和西云数据的紧密合作,在中国区域最新推出了云原生等级保护技术解决方案,客户可以通过GuardDuty 进行云环境威胁检测及网络入侵检测,以满足等级保护相关要求。
在GuardDuty已有的数百项功能和增强功能基础上,此次推出的GuardDuty三项新功能将安全覆盖范围扩展到亚马逊云科技更多工作负载和核心部署用例中。客户只需几步,并且无需其他要求或先决条件,即可在整个企业范围内轻松启用GuardDuty,获得可执行、与场景相关和及时的安全检测结果及特定资源的详细信息,实现快速调查和响应。新功能包括:
• 全新针对Amazon Elastic Kubernetes Service(Amazon EKS)的容器运行保护: GuardDuty EKS Runtime Monitoring引入了一个完全托管的轻量级安全代理,可以分析和监控主机操作系统级别的行为,如文件访问、进程执行和网络连接。在与Amazn EKS的紧密协作下,该代理无需客户部署、维护或更新即可执行。GuardDuty的该项新功能相当于其他基于代理的解决方案,同时可以轻松启用。它增强了GuardDuty对Amazon EKS部署的保护,并降低了实现此类安全覆盖所需的运行开销和复杂程度,尤其是在高动态、容器化的计算环境中。GuardDuty现在可以轻松实现对一个账户或企业机构中所有Amazon EKS运行时监控。通常账户和数据泄露会从单个被泄露的端点或容器开始,然后升级成为凭据泄露,并且可能蔓延到更广泛的亚马逊云科技环境以及存储在其中的数据。GuardDuty的可见性覆盖了运行时事件、Kubernetes审计日志以及更广泛的亚马逊云科技网络层和网络日志,客户可以识别攻击中的步骤,并在升级为大范围影响业务的威胁漏洞之前及早收到警报,遏制潜在的安全威胁。该功能基于GuardDuty EKS Protection的初始集成之上,通过分析客户账户中已有和新建的Amazon EKS集群的Kubernetes审计日志来监测控制面板活动。
• 将覆盖范围扩大至Amazon Aurora中存储的数据:GuardDuty RDS Protection在不影响性能、生产力或可用性的前提下,可识别出存储在Aurora数据库中的数据所面临的潜在威胁。GuardDuty RDS Protection配置并监控对客户账户中已有和新建数据库的访问活动,该功能使用了集成的威胁情报和机器学习模型监测Aurora数据库的可疑登录活动,其中机器学习模型针对经过高度场景化、基于RDS登录活动异常数据进行训练。
• 新增对Amazon Lambda中的Serverless应用的支持:GuardDuty Lambda Protection降低了客户Serverless应用中的安全风险,因为Serverless工作负载中增加了抽象层,是传统威胁检测方法很难识别的风险。客户一旦启用GuardDuty Lambda Protection,该功能将持续监控客户所有Serverless工作负载,分析映射回各个Lambda功能的网络通信,以检测恶意通信和流行的危害活动,如加密恶意挖矿。
“目前,数以万计全球各个行业的企业机构正在使用Amazon GuardDuty,包括我们90%以上前2000家大客户,它为超过5亿EC2实例和数百万个S3 存储桶提供保护。”亚马逊云科技安全服务副总裁Jon Ramsey表示:“基于GuardDuty强大的能力基础,我们推出这些新的功能,进一步扩展安全检测和监控至容器运行时监控、数据库和Serverless应用,这也是客户最期望的几个方面。我们自推出GuardDuty以来,我们托管检测数量增加了三倍多。”
百思买是一家总部位于美国的跨国消费电子零售商。 “安全始终是我们最关心的问题,尤其是在我们将Amazon Aurora的使用范围扩大到迁移和云原生应用之后。”百思买的企业风险与合规云安全工程师Vaibhav Sonawane表示:“GuardDuty RDS Protection具备的机器学习和智能威胁检测功能,帮助我们进一步增强我们辨别合法及非法登录尝试的能力。Amazon GuardDuty具有无缝集成、成本效益和易用性等特点,我们很高兴看到Amazon GuardDuty扩展到更多如等其他亚马逊云科技的服务。”
通用电气的业务部门GE Digital是工业软件领导者之一,帮助客户更便捷、快速和规模化的数字化转型。 “作为GuardDuty的长期客户,我们很高兴看到该服务关键检测的不断增加,并将覆盖范围扩大到更多亚马逊云科技原生服务。” GE Digital网络工程和架构高级总监Chuck Rees表示,“我们使用GuardDuty及其检测来监控对S3存储桶的访问,从而为我们的敏感数据提供保护。GuardDuty简单易用,为保护我们在亚马逊云科技上工作负载的关键组成。”
西门子是一家总部位于慕尼黑的技术和工业制造公司,为世界各地的能源、医疗健康等行业生产设备和部件。 “我们选择Amazon GuardDuty的初衷是用于监控我们的亚马逊云科技账户是否存在恶意活动。”西门子高级基础设施工程师Scott Schwartz表示,“我们之所以选择亚马逊云科技,主要是为了提升我们的安全防范能力并实现重要任务的自动化。我们还希望实现集中访问控制,聚合来自整个组织的不同账户的信息。GuardDuty是我们的明智之选,让我们更轻松地采用亚马逊云科技的服务并将其它们集成到现有的工具中。”