那么到底该如何做到“始终走在潜在威胁的前面”、做好主动防御呢?一起看看亚马逊云科技CISO介绍的方法。【TechWeb】11月7日消息,近日,亞馬遜雲科技首席信息安全官(CISO)Chris Betz發表了一篇題爲《亞馬遜雲科技如何通過主動防禦保護客戶免受安全威脅》的文章,其中透露了亞馬遜雲科技構建主動防禦雲安全體系的諸多細節。
事實上,網絡安全的本質是「攻、防」兩端的能力較量,主動防禦是一種重要的安全策略。正如Chris Betz在文中所言:「爲了防止安全事件對客戶業務產生影響,我們需要始終走在潛在威脅的前面」、「採取主動的、實時的行動來防止潛在威脅變爲真正影響客戶安全問題。」
始終走在潛在威脅的前面,正是亞馬遜雲科技構建主動防禦雲安全體系的基礎邏輯。
那麼到底該如何做到「始終走在潛在威脅的前面」、做好主動防禦呢?一起看看亞馬遜雲科技CISO介紹的方法。
將「安全設計」融入服務
在構建雲安全體系上,亞馬遜雲科技有自己的一套方法論。
Chris Betz表示:「亞馬遜雲科技一直致力於贏得並維護客戶對我們的信賴。安全是我們的首要任務,我們一開始在服務設計階段就將安全考慮其中。」
亞馬遜雲科技認爲「安全是設計出來的」,無論是基礎設施還是服務,從設計之初就應該將安全作爲首要任務,並嵌入到從架構到操作的各個環節。
具體而言,亞馬遜雲科技從架構設計之初就注重多層防護,通過自動化監控和全球性威脅響應機制,實現了安全、穩定的雲上環境。
同時,憑藉全球部署的規模優勢(亞馬遜雲科技基礎設施遍及34個地理區域的108個可用區),亞馬遜雲科技能夠實時分析來自世界各地的安全數據。通過與各地安全團隊共享情報,亞馬遜雲科技將最新的威脅信息快速應用於全球的防禦體系,爲客戶提供實時的安全保護。這種規模化的協作不僅強化了亞馬遜雲科技主動防禦的覆蓋範圍,也使其在提升行業安全標準方面發揮了引領作用。
三大主力系統 構建主動防禦屏障
Chris Betz披露,亞馬遜雲科技的主動防禦體系由多個協作系統組成,涵蓋了從引誘攻擊到分析威脅並最終封鎖其入侵路徑的全過程。這個過程的核心在於MadPot、Mithra和Sonaris三大系統,它們通過協作有效監控、分析並遏制網絡攻擊,爲亞馬遜雲科技全球用戶構建了無處不在的安全屏障。
一、MadPot:威脅誘捕與情報收集的先鋒
蜜罐技術是網絡安全防禦最新的趨勢和技術之一,通過設置誘餌主機吸引攻擊者,收集攻擊數據,幫助識別和防範潛在威脅。
MadPot是亞馬遜雲科技開發的高級「蜜罐系統」,通過模擬真實的服務和數據來吸引潛在攻擊者。
MadPot在全球範圍內佈置了大量「誘餌」,這些虛擬環境模仿了亞馬遜雲科技常見的應用場景,意在誘使攻擊者將其惡意操作暴露出來。在MadPot環境中,攻擊者的每一次嘗試和每一條惡意代碼都會被記錄和分析,從而幫助亞馬遜雲科技獲取寶貴的威脅情報。
二、Mithra:大規模流量監控與信譽評分系統
Mithra是亞馬遜雲科技開發的神經網絡威脅情報系統,專門應對DDoS等惡意流量。該系統通過35億節點和480億條邊的複雜神經網絡,實時分析全球範圍內的網絡請求並對其信譽評分。
憑藉日均處理200萬億次互聯網域請求的能力,Mithra每天識別並屏蔽約182,000個惡意域名,防止它們進入亞馬遜雲科技網絡,以保障客戶業務的安全。
據悉,在一次全球範圍DDoS攻擊中,Mithra成功屏蔽了數十億次惡意請求,保障了客戶服務的平穩運行。其信譽評分系統不僅能識別並隔離不可信請求,還幫助減少流量攻擊帶來的業務中斷,有效提升了應用的可用性。
三、Sonaris:全球範圍內的實時威脅檢測與自動化響應
今年re:Inforce大會上,Chris Betz曾介紹過內部威脅情報工具——Sonaris,在保護亞馬遜雲科技和客戶方面發揮着至關重要的作用。
Sonaris是亞馬遜雲科技內部研發的全球實時威脅檢測系統,並與MadPot緊密整合。Sonaris依靠強大的機器學習模型和深度神經網絡來分析網絡流量,實時捕捉並屏蔽惡意活動。它可以在幾分鐘內在全球範圍內識別並自動限制未經授權的掃描和發現 Amazon Simple Storage Service (Amazon S3)存儲桶的行爲。
Sonaris應用安全規則和算法每分鐘可識別2,000億次事件中的異常情況。每當MadPot收集到新的威脅行爲模式時,Sonaris會迅速同步這些情報,更新其內部算法,以便第一時間檢測並自動限制攻擊者的活動。
當Sonaris識別出惡意嘗試掃描亞馬遜雲科技IP地址或客戶帳戶時,它會觸發Amazon Shield、 Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3和 Amazon WAF的自動保護,實時自動保護客戶資源免受未經授權活動的影響。
得益於MadPot和Sonaris的合作,亞馬遜雲科技可以在潛在攻擊發生之前就做好防禦準備,將客戶暴露在風險中的時間降至最低。
主動防禦成果可量化
在網絡安全領域,和被動防禦不同,因爲主動防禦要「始終走在潛在威脅的前面」,也就意味着威脅並未實際發生,就已經被「消滅」。
事實上,在網絡安全界,主動防禦如何自證有效,也是安全服務提供商繞不開的一個話題。
亞馬遜雲科技如何衡量Sonaris應對網絡流量攻擊實際對客戶產生的影響?
Chris Betz介紹,亞馬遜雲科技爲評估Sonaris對客戶安全的影響,利用MadPot進行了分組測試,設立兩個獨立的蜜罐測試組來比較各自的威脅活動:一組配置了基於Sonaris分析的邊界安全控制,另一組則無任何防護措施。結果顯示,Sonaris能夠有效阻止大量潛在威脅,在MadPot分類的數百種惡意交互中,2024年9月的數據顯示不當嘗試減少了83%。
在過去12個月中,Sonaris拒絕了超過270億次嘗試查找無意公開的S3存儲桶,並阻止了近2.7萬億次嘗試發現 Amazon Elastic Compute Cloud (Amazon EC2)上的服務漏洞。
在2023年和2024年期間,一個名爲Dota3的大型活躍殭屍網絡一直在掃描互聯網,尋找易受攻擊的主機和設備來安裝加密貨幣挖礦的惡意軟件。在2024年第三季度,Sonaris分層檢測方法,讓這個殭屍網絡無法避免亞馬遜雲科技的的自動檢測。Sonaris自動保護客戶免受每小時超過16,000個惡意掃描端點的攻擊。
同時,Chris Betz也強調:「儘管Sonaris能夠降低風險,但它無法完全消除風險,爲此我們的工作還遠未結束。我們將持續發展和加強安全措施,亞馬遜雲科技將繼續致力於讓互聯網變得更加安全,讓客戶能夠在日益複雜的數字環境中快速發展的同時保持強大的安全態勢。」
