使用自动化终了快速检测和降噪全站APP注册、手机网页版、在线登录、客户端以及发布平台优惠活动信息、招商代理加盟等
关节字: [Amazon Web Services re:Invent 2024, 亚马逊云科技, Rapid Detection, Noise Reduction, Automation, Security Alerts, Known Good Behavior]
导读
安全居品会生成无数发现,平日会酬金授权用户的正常行为。在本次会议中,亚马逊云科技托管奇迹(AMS)安全团队的成员将向您先容他们如何欺诈自动化本领快速分类来自Amazon GuardDuty、Lacework和亚马逊云科技 DNS Firewall的安全发现,从而减少需要东说念主工审查的警报数目。
演讲精华
以下是小编为您整理的本次演讲的精华。
亚马逊云科技托管奇迹的安全团队面对着一个宏大的挑战:他们的小团队每周都会被数以千计的安全警报消亡,其中好多都是误报。手动对这些警报进行分类是一个极其耗时的过程,每个警报需要4-5个小时,况且穷乏精确性。这个问题并非亚马逊云科技稀奇,各行业的大小安全团队都面对着访佛的问题。一些价值数十亿好意思元的公司的云安全团队只好2-3名工程师,使他们无法有用地筛选数千个恐吓检测。此外,这些小团队无法24/7运作,导致警报在触发后12、24以致36个小时才被处理,到其时安全事件可能仍是形成要紧失掉。对于勒诈软件漏洞或其他安全事件,36小时的反应蔓延实在太长。
与传统的里面环境比拟,云环境带来了稀奇的挑战。资源证实过自动化不断创建和阵一火,导致在旁观时产生的安全警报针对的资源仍是不存在。客户以为他们无数时间被耗损在反应那些对业务莫得价值的安全警报上。
手动对安全警报进行分类是一项东说念主类并不太擅长的任务,因为它需要在短时间内处理无数数据。举例,针对字据外泄的警报可能是由已知的简直采集代理触发的,从而使警报变得不关紧要。可是,东说念主工分析师可能需要2-3个小时才能笃定警报的原因和落魄文。
在亚马逊云科技托管奇迹运营的范围下,管束着数以千计的亚马逊云科技账户和寰球数百个客户,这个挑战愈加笨重。尽管有一个团队24小时不间隔责任,但他们每周仍会收到数千个安全警报,每个警报需要4-5个小时处理。这导致团队成员感到懊丧,被警报的数目和手动分类过程的穷乏精确性所消亡。有一次,当检测到一台Windows奇迹器被入侵时,有CPU峰值、内存不及、末端安全代理警报和GuardDuty警报等四个警报,这四个警报都被分拨给四个不同的反应东说念主员处理归并事件,突显了手动分类过程穷乏精确性。
团队辩论了几种潜在管束决策,包括雇佣地球上悉数的安全工程师(被认为太文明且无法管束穷乏精确性的问题)、条目现存团队每周7天、24小时责任(包括节沐日,但被东说念主力资源部门和团队成员自身断绝,后者恐吓要下野)、将悉数客户的日记连合到一个中央账户(激发了数据隐秘、主权和传输日记本钱的担忧)。依赖“神奇独角兽”的想法也被讨论过,但被视为不切本色。
最终,团队决定自动化是最好方法,因为它不错让他们通过编码形态和自动化重迭性任务,在范围上欺诈东说念主类专科常识。这一决定基于团队对自动化大概更好地欺诈东说念主力资源和工程师的相识,使他们大概更高效、更有用地责任。
为了实施这一管束决策,团队构建了一个名为亚马逊云科技安全事件反应的系统。该系统从多样开端(包括GuardDuty、Macie等亚马逊云科技奇迹以登科三方器具)获取发现成果,并将其引入Amazon Security Hub。Security Hub充任连合平台,用于团员和去重发现成果,并提供责任经过管束功能。
可是,即使有了Security Hub,团队仍然面对着每天处理数千个发现成果的挑战。为了管束这个问题,他们构建了亚马逊云科技安全事件反应系统,自动处理这些发现成果的分类和旁观。该系统充任凭空安全分析师,拜访多样数据源,如CloudTrail日记、NetFlow日记、应用方法日记,以及来自亚马逊和第三方的恐吓谍报。
自动化系统本质初步分类和旁观,根据客户环境落魄文笃定行为是否为“已知良性步履”。这个过程王人备无需东说念主工烦嚣,系统会自动拉取数据并跟着时间积蓄常识。
天然自动化处理了初步分类和旁观,但对于需要更久了分析或无法被明确归类为已知良性步履的升级事件,东说念主工反应东说念主员仍然至关弥留。反应东说念主员将从这些旁观中得到的教训反馈给系统,形成一个闭环,使自动化大概不断改进和发展。
团队面对的一个挑战是管束东说念主工反应东说念主员对选定这种自动化系统的担忧和怯怯。一些反应东说念主员对偏离行业表率作念法抓严慎气魄,追悼淌若专注于识别已知良性步履而错过本色的坏心行为。
为了克服这些担忧,团队诉诸数据分析。通过检查他们现在大概手动旁观的发现成果,他们意志到他们只可处理10-12%的总发现成果。而自动化系统则不错笼罩近100%的发现成果,镌汰错过某些情况的可能性,升迁他们的举座笼罩率。
此外,团队强调自动化不会取代东说念主工反应东说念主员,而是让他们大概专注于更意思意思、更具政策性的责任,从而管束了责任安全的担忧。事实上,团队加多了安全工程师的数目,因为工程师的范畴常识和专科常识对于构建新的形态匹配算法和像恐吓参与者那样想考至关弥留,这是任何剧本都无法复制的。
透明度是团队管束的另一个担忧。他们确保客户大概看到自动化系统选定的操作,欺诈Security Hub和GuardDuty将发现成果处理形势写回的功能。
实施自动化系统为亚马逊云科技托管奇迹团队带来了权贵的公正。他们将杂音与真实信号的比率镌汰了数百倍,从而大概专注于剩余需要进一按序查的事件。这种杂音减少也减少了对其他团队(如应用方法团队)的升级次数,他们之前时时在奇怪的时间被惊扰来旁观误报。
自动化开释了数千个小时之前用于手动分类的时间,使团队大概将重心滚动到更主动的安全加固责任上。通过与客户谐和改善其环境的安全态势,团队不错减少领先产生的发现成果数目,形成抓续改进的良性轮回。举例,他们匡助客户在悉数实例上将实例元数据奇迹版块1替换为版块2,确保正确的S3存储桶建树,并为根用户账户启用多成分身份考据。
自动化系统的一个关节上风是大概从每一个安全事件中学习,并不断升迁其检测才能。当客户遇到入侵时,团队将漏洞的杀伤链宗旨(如窥探行为、实例字据外泄、特殊IAM行为和数据外泄)编码到自动化系统中,从而大概更早地检测到其他客户的访佛步履。这种学习过程收获于亚马逊云科技运营的范围,因为忽视的形态不错被识别并在通盘客户群中分享。
团队分享了几个真实案例,评释了他们自动化方法的威力:
端口扫描和窥探行为:传统上,安全团队会反应每一个窥探行为,即使其中好多都是来自正当开端(如渗入测试奇迹或采集代理)的预期步履。通过分析日记数据并识别已知良性形态(如由于应用方法设想,实例通过特定端口通讯),自动化系统不错过滤掉授权的窥探行为,从而大大减少杂音。加密货币挖矿:当一家金融机构客户入驻时,系管辖先将加密货币挖矿行为标志为潜在坏心步履。可是,经过旁观发现,该客户有一个磋磨部门正在正当磋磨区块链和加密货币采集,以磋磨高效分裂式账本终了。团队将这一常识构建到系统中,使其大概识别其他从事分裂式账本本领责任的客户的访佛形态。采集爬虫用于搜索引擎优化:一个从事采集爬虫以优化搜索引擎的客户由于其行为性质(触及拜访庸俗的网站,包括潜在的坏心网站)而触发警报。这产生了无数DNS流量和拜访坏心网站的发现成果。通过了解客户的用例,团队大概加固他们的环境,确保爬虫对潜在恐吓具有弹性,并将预期步履列入白名单,从而减少反应东说念主员的杂音。客户环境受损:一位客户遇到了要紧入侵,恐吓步履者进行了窥探、窃取了实例字据、在多个区域进行了特殊 IAM 行为,最终在数天后被发现之前窃取了数据。尽管客户启用了 GuardDuty 和 Security Hub,但分析师未能实时审查发现成果。亚马逊云科技 团队将此漏洞的杀伤链宗旨编码到自动化系统中,当恐吓步履者一年后尝试交流的策略时,为归并客户终见识早期检测和反应,并主动保护了其他客户。
这些场景突显了自动化系统欺诈 亚马逊云科技 客户群体的范围来识别和分享跨环境的忽视形态,从而学习和稳当稀奇的客户环境和用例的才能。
自动化使反应东说念主员大概将专科常识应用于更高判断力的行为,而不是重迭的日记分析,从而升迁了责任舒畅度,并为主动安全技俩的创新铺平了说念路。正如 Winstanley 所说:“咱们为他们开启了一个全新的天下,让他们大概成长、蔓延、学习外行段,并参与咱们所面对的悉数本领挑战,包括咱们可能但愿实施的主动责任。”
Morales 晓谕推出 亚马逊云科技 安全事件反应奇迹,该奇迹通过扫尾台向客户提供。该奇迹是根据 亚马逊云科技 托管奇迹客户的反馈而设立的,他们但愿大概拜访安全功能,而无需齐备的托管奇迹运营才能。
亚马逊云科技 安全事件反应奇迹包括三个主邀功能:
自动监控和旁观警报:该奇迹监控来自 GuardDuty 和通过 Security Hub 辅助的第三方器具的警报,笃定行为是已知的邃密步履如故需要升级,并自动旁观和丰富升级的警报。安全事件管束扫尾台:客户不错连合管束安全事件,界说拜访权限,追踪通讯,安全地分享日记和文献,并监控安全事件的程度。全天候拜访 亚马逊云科技 安全行家:客户不错拜访特地的安全行家,他们将主动监控客户环境,接纳和旁观升级的警报,并不错被召唤来旁观任何安全问题,对于案例的反适时间为 15 分钟。
客户不错选拔欺诈 亚马逊云科技 安全事件反应奇迹或与我方的团队全部构建访佛的自动化才能。
总之,亚马逊云科技 托管奇迹团队得手管束了快速检测和降噪的挑战,方法是欺诈自动化。他们的创新方法权贵升迁了信噪比、检测速率、反应东说念主员的坐褥力和抓续学习才能。通过将他们的专科常识编码并欺诈 亚马逊云科技 客户群体的范围,他们创造了一个自动化的良性轮回,使团队大概专注于更高价值的政策安全谋略,同期为客户提供更好的保护。
底下是一些演讲现场的精彩短暂:
Manuel Morales,本领居品的主要居品司理,以及Steven Bowie,高档安全阐扬东说念主,在reInvent2024行为上先容了我方。
他们揭示了安全发现的真实笼罩范围,以及新系统如何终见识近100%的笼罩率,从而减少了遗漏关节事件的怯怯。
亚马逊云科技仍是权贵镌汰了杂音与真实信号的比率,使他们大概专注于简直的恐吓并减少涉特别他团队的升级。
亚马逊云科技欺诈其在客户环境中的大范围和数据,来识别圮绝解坏心窥探行为,提供了唯独无二的安全才能,无与伦比。
一个有劲的叙述强调了加密货币挖矿漏洞在云中的遍及性,以及安全措施对于搪塞此类恐吓的弥留性。
亚马逊云科手段够鼎沸不同客户的需求,从构建基于分类账的应用方法到优化搜索引擎的可见性,通过采集爬虫展示了其多功能性和稳当性。
演讲者幽默地邀请不雅众干预一个对于新奇迹的演讲,地点在一个十分规的处所——曼德勒湾浴室。
追思
在这个山外有山的叙述中,亚马逊云科技安全行家Philip Winstanley、Manuel Morales和Steven Bowie分享了他们欺诈自动化管束快速检测和降噪的挑战的历程。他们报告了他们的团队和客户如何手动审查数千个安全警报,导致耗损时间和蔓延反应。在探索了多样不切本色的管束决策后,他们选定了自动化来大范围欺诈他们的范畴常识和专科常识。
该团队设立了亚马逊云科技 Security Incident Response,这是一项自动化审查和旁观来自多个开端的安全发现的奇迹。它充任凭空安全分析师,拜访恐吓谍报、日记和其他数据源,识别已知的邃密步履并升级潜在恐吓。这种方法权贵镌汰了杂音,升迁了精度,并使分析师大概从事更多政策责任。
他们强调了真实天下的例子,展示了系统如何从每全部事件中学习,构建新的自动化来在杀伤链的早期检测恐吓。行家们还讨论了在这一过渡时间面对的东说念主力挑战,如抗拒变革、错失时会的怯怯、责任安全问题和透明度。通过培养创新和抓续学习的文化,他们的团队秉承了自动化,从而升迁了笼罩范围、主动管束安全态势,并形成了一个良性轮回的改进。
临了,他们晓谕推出亚马逊云科技 Security Incident Response行为一项面向悉数客户的奇迹,提供自动化监控、连合事件管束和24/7安全行家辅助。该叙述强调了自动化在增强安全运营方面的变革力量,使团队大概专注于更高价值的任务,并通过分享常识和范围鼓励抓续改进。
亚马逊云科技(Amazon Web Services)是寰球云打算的草创者和引颈者。提供200多类庸俗而久了的云奇迹,奇迹寰球245个国度和地区的数百万客户。作念为寰球生成式AI前行者全站APP注册、手机网页版、在线登录、客户端以及发布平台优惠活动信息、招商代理加盟等,亚马逊云科技正在联袂庸俗的客户和谐和伙伴,缔造可见的交易价值 – 收罗寰球40余款大模子,亚马逊云科技为10万家寰球企业提供AI及机器学习奇迹,督察3/4中国企业出海。