亚马逊云科技如何追踪并阻止云端的安全威胁

亚马逊首席信息安全官C.J. Moses

北京2024年8月14日 /美通社/ -- 来自全球各地的企业信任亚马逊云科技存储及处理其最敏感的数据。业界领先的威胁情报是我们确保客户在亚马逊云科技上的数据安全的一种方式，我们通过该项目识别和阻止各种可能危害或干扰我们客户或我们基础设施的恶意在线活动。我们非常重视制定准确、及时、可操作和可扩展的威胁情报，并在这方面投入了大量资源。

很多客户非常想了解我们威胁情报的来源、我们检测到了哪些威胁、我们如何根据所观察到的内容采取行动，以及他们需要做什么来保护他们自己。这些问题表明，首席信息安全官（CISO）的角色已经从主要技术职能演变为战略性以及面向业务的职能，他们知道有效的威胁情报对于组织的成功和韧性至关重要。

只有亚马逊云科技的全球规模才能达到的高保真威胁情报

我们每一天都会对亚马逊云科技的基础设施进行扫描、检测和防御网络攻击。作为全球最大的公共云服务提供商，亚马逊云科技对互联网的某些实时活动，拥有独到的洞察优势。但要让威胁情报对安全产生有意义的影响，就必须收集来自整个互联网的大量原始数据并迅速分析。同时，还必须剔除误报。例如，威胁情报可能会错误地将员工在下班后登录访问敏感数据视为内部威胁，而实际上该员工可能是因为临时项目而不得不加班工作。威胁情报的生成非常耗时，需要大量人力和数字资源。人工智能(AI)和机器学习可以帮助分析师筛选和分析大量数据。然而，如果无法收集和分析整个互联网上的相关信息，威胁情报的用处就非常有限。对于时间敏感类信息，组织机构即使能够自行收集可操作的威胁情报，如果没有覆盖全球的云基础设施，也很难或不可能及时并大规模地与他人共享。

亚马逊云科技的基础设施彻底改变了威胁情报，我们通过大量情报信号（由我们的安全工具生成的通知）显著提高了威胁情报的准确性——即我们所说的高保真。亚马逊云科技复杂的全球分布式威胁传感器网络MadPot具有自动响应功能，随着我们使用MadPot发现和监控潜在的有害活动，我们也在不断提升针对威胁参与者不断发展的战术、技术和程序(TTP)的观测和应对能力。

通过亚马逊云科技的全球网络和像MadPot这样的内部工具，我们可以实时接收和分析数千种不同类型的事件信号。例如，MadPot每天能检测到1亿多个来自全球的潜在威胁，其中约有50万个被归类为恶意活动。这意味着高保真的发现会生成有价值的威胁情报，我们因此可以迅速采取行动，保护世界各地的客户免受有害和恶意在线活动的影响。我们也会将高保真情报产生的实时发现输入到我们的智能威胁检测安全服务Amazon GuardDuty中，对数百万个亚马逊云科技账户进行自动威胁检测。

亚马逊云科技的Mithra评估域名可信度，帮助保护客户免受威胁

识别恶意域名（互联网上的物理IP地址）对于有效的威胁情报至关重要。当亚马逊云科技客户与域名进行交互时，GuardDuty会生成各种发现（如异常行为等潜在的安全问题），每个域名都会根据各种评估可信度的指标得到一个信誉评分。为什么要进行这种评分排名？维护一个高质量的恶意域名列表对于监控网络犯罪行为、保护我们的客户至关重要。我们如何完成这个庞大的评分排名任务？首先将它想象成一个庞大的图表（可能是现存最大的图表之一），大到人根本无法查看和理解其全部内容，更不用说从中获得可用的洞察了。

让我们认识一下Mithra。Mithra这个名字源自一种神话中的升起的太阳，它是一个由亚马逊云科技开发的大型内部神经网络图模型，使用为威胁情报而设计的算法。

Mithra的信誉评分系统具有35亿个节点和480亿条边，专门用于识别客户接触到的恶意域名，并对这些域名进行相应的打分。我们每天观察到大量DNS请求，仅在亚马逊云科技一个区域就高达2000万亿次，Mithra每天平均检测到182,000个新的恶意域名。Mithra每天都会为每个在亚马逊云科技内查询的域名算出一个信誉评分，这让亚马逊云科技不需要依赖第三方来检测新兴威胁，同时相比使用第三方能更快生成更好的知识。

Mithra不仅能够以惊人的准确性检测恶意域名，减少误报，而且这个超级图还能够比第三方的威胁情报源提前数天、数周，有时甚至数月预测恶意域名。这种强大的能力意味着我们每天都可以观察到并应对数百万个安全事件和潜在威胁。

Mithra对域名进行评分，可用于:

生成一个新的、高度可信的恶意域名列表，用于诸如GuardDuty之类的安全服务中，保护我们的客户。GuardDuty还允许客户阻止恶意域名并获取潜在威胁的警报。

使用第三方威胁情报源的服务可以借助Mithra的评分来显著减少误报。

亚马逊云科技安全分析师可以在安全调查过程中使用这些评分作为额外的参考。

与客户分享我们的高保真威胁情报，提升他们的自我保护能力

我们的威胁情报不仅用于无缝增强亚马逊云科技和客户所依赖的安全服务，我们还主动与那些可能会受到恶意行为者攻击或潜在入侵的客户和其他组织分享关键信息。威胁情报接收者可以通过评估我们分享的信息，采取措施来降低风险，防止业务中断。

例如，通过我们的威胁情报，如果我们发现某些组织机构的系统可能会被威胁行为者入侵，或似乎运行了配置错误且易受攻击或滥用的系统（如开放数据库），我们就会对这些组织机构发出通知。网络犯罪分子会持续扫描互联网来寻找暴露的数据库和其他漏洞，数据库暴露的时间越长，恶意行为者发现并利用它的风险就越高。在某些情况下，当我们收到信号表明第三方组织（非客户）可能会遭到威胁行为者入侵时，我们也会通知他们，因为这样做可以阻止进一步的攻击，促进整个互联网的安全。

通常，当我们向客户和其他组织机构发出此类问题的警报时，这是他们第一次意识到自己可能被入侵了。他们收到通知后，可以进行调查来决定需要采取哪些措施来保护自己，防止可能导致中断或进一步攻击的事件的发生。我们的通知通常还包括组织机构可以采取的行动建议，例如审查特定域名的安全日志并阻止它们，实施缓解措施，更改配置，进行取证调查，安装最新补丁或将基础设施置于网络防火墙之后。这些主动行动能帮助相关组织机构在潜在威胁发生之前就采取行动，而不是在事件发生后才做出反应。

有时，我们通知的客户和其他组织机构也会反过来提供一些信息，让我们能进一步为他人提供帮助。如果受影响的组织机构在调查后向我们提供相关的入侵指标（indicators of compromise，IOC），这些信息可用于提升我们对入侵发生方式的理解。这种理解可能会带来重要的洞察，我们可以与他人分享这些洞察，他们进而利用这些信息采取行动来改善自身的安全态势——这是一个良性循环，通过协作促进安全。例如，我们收到的信息可能会帮助我们了解一个社会工程学攻击或特定的网络钓鱼活动是如何通过在受害者系统上安装恶意软件来破坏一个组织的安全。或者，我们可能会收到用于实施入侵的零日漏洞信息，或了解如何使用一个远程代码执行(RCE)攻击来运行恶意代码和其他恶意软件来窃取数据。然后，我们可以使用和分享这些情报来保护客户和其他第三方。当大家相互合作、共享资源、情报和专业知识时，这种协作和协调响应会更加有效。

亚马逊云科技运营着可靠的云基础设施，这让我们拥有独特的视角观测安全态势和客户每天面临的威胁。我们分享的威胁情报提高了客户和其他组织的安全性，这让我们深受鼓舞，我们将继续寻找更多能提供帮助的方式。

审核编辑 黄宇