亞馬遜首席信息安全官C.J. Moses

北京2024年8月14日 /美通社/ -- 來自全球各地的企業信任亞馬遜云科技存儲及處理其最敏感的數據。業界領先的威脅情報是我們確?？蛻粼趤嗰R遜云科技上的數據安全的一種方式，我們通過該項目識別和阻止各種可能危害或干擾我們客戶或我們基礎設施的惡意在線活動。我們非常重視制定準確、及時、可操作和可擴展的威脅情報，并在這方面投入了大量資源。

很多客戶非常想了解我們威脅情報的來源、我們檢測到了哪些威脅、我們如何根據所觀察到的內容采取行動，以及他們需要做什么來保護他們自己。這些問題表明，首席信息安全官（CISO）的角色已經從主要技術職能演變為戰略性以及面向業務的職能，他們知道有效的威脅情報對于組織的成功和韌性至關重要。

只有亞馬遜云科技的全球規模才能達到的高保真威脅情報

我們每一天都會對亞馬遜云科技的基礎設施進行掃描、檢測和防御網絡攻擊。作為全球最大的公共云服務提供商，亞馬遜云科技對互聯網的某些實時活動，擁有獨到的洞察優勢。但要讓威脅情報對安全產生有意義的影響，就必須收集來自整個互聯網的大量原始數據并迅速分析。同時，還必須剔除誤報。例如，威脅情報可能會錯誤地將員工在下班后登錄訪問敏感數據視為內部威脅，而實際上該員工可能是因為臨時項目而不得不加班工作。威脅情報的生成非常耗時，需要大量人力和數字資源。人工智能(AI)和機器學習可以幫助分析師篩選和分析大量數據。然而，如果無法收集和分析整個互聯網上的相關信息，威脅情報的用處就非常有限。對于時間敏感類信息，組織機構即使能夠自行收集可操作的威脅情報，如果沒有覆蓋全球的云基礎設施，也很難或不可能及時并大規模地與他人共享。

亞馬遜云科技的基礎設施徹底改變了威脅情報，我們通過大量情報信號（由我們的安全工具生成的通知）顯著提高了威脅情報的準確性——即我們所說的高保真。亞馬遜云科技復雜的全球分布式威脅傳感器網絡MadPot具有自動響應功能，隨著我們使用MadPot發現和監控潛在的有害活動，我們也在不斷提升針對威脅參與者不斷發展的戰術、技術和程序(TTP)的觀測和應對能力。

通過亞馬遜云科技的全球網絡和像MadPot這樣的內部工具，我們可以實時接收和分析數千種不同類型的事件信號。例如，MadPot每天能檢測到1億多個來自全球的潛在威脅，其中約有50萬個被歸類為惡意活動。這意味著高保真的發現會生成有價值的威脅情報，我們因此可以迅速采取行動，保護世界各地的客戶免受有害和惡意在線活動的影響。我們也會將高保真情報產生的實時發現輸入到我們的智能威脅檢測安全服務Amazon GuardDuty中，對數百萬個亞馬遜云科技賬戶進行自動威脅檢測。

亞馬遜云科技的Mithra評估域名可信度，幫助保護客戶免受威脅

識別惡意域名（互聯網上的物理IP地址）對于有效的威脅情報至關重要。當亞馬遜云科技客戶與域名進行交互時，GuardDuty會生成各種發現（如異常行為等潛在的安全問題），每個域名都會根據各種評估可信度的指標得到一個信譽評分。為什么要進行這種評分排名？維護一個高質量的惡意域名列表對于監控網絡犯罪行為、保護我們的客戶至關重要。我們如何完成這個龐大的評分排名任務？首先將它想象成一個龐大的圖表（可能是現存最大的圖表之一），大到人根本無法查看和理解其全部內容，更不用說從中獲得可用的洞察了。

讓我們認識一下Mithra。Mithra這個名字源自一種神話中的升起的太陽，它是一個由亞馬遜云科技開發的大型內部神經網絡圖模型，使用為威脅情報而設計的算法。

Mithra的信譽評分系統具有35億個節點和480億條邊，專門用于識別客戶接觸到的惡意域名，并對這些域名進行相應的打分。我們每天觀察到大量DNS請求，僅在亞馬遜云科技一個區域就高達2000萬億次，Mithra每天平均檢測到182,000個新的惡意域名。Mithra每天都會為每個在亞馬遜云科技內查詢的域名算出一個信譽評分，這讓亞馬遜云科技不需要依賴第三方來檢測新興威脅，同時相比使用第三方能更快生成更好的知識。

Mithra不僅能夠以驚人的準確性檢測惡意域名，減少誤報，而且這個超級圖還能夠比第三方的威脅情報源提前數天、數周，有時甚至數月預測惡意域名。這種強大的能力意味著我們每天都可以觀察到并應對數百萬個安全事件和潛在威脅。

Mithra對域名進行評分，可用于:

生成一個新的、高度可信的惡意域名列表，用于諸如GuardDuty之類的安全服務中，保護我們的客戶。GuardDuty還允許客戶阻止惡意域名并獲取潛在威脅的警報。

使用第三方威脅情報源的服務可以借助Mithra的評分來顯著減少誤報。

亞馬遜云科技安全分析師可以在安全調查過程中使用這些評分作為額外的參考。

與客戶分享我們的高保真威脅情報，提升他們的自我保護能力

我們的威脅情報不僅用于無縫增強亞馬遜云科技和客戶所依賴的安全服務，我們還主動與那些可能會受到惡意行為者攻擊或潛在入侵的客戶和其他組織分享關鍵信息。威脅情報接收者可以通過評估我們分享的信息，采取措施來降低風險，防止業務中斷。

例如，通過我們的威脅情報，如果我們發現某些組織機構的系統可能會被威脅行為者入侵，或似乎運行了配置錯誤且易受攻擊或濫用的系統（如開放數據庫），我們就會對這些組織機構發出通知。網絡犯罪分子會持續掃描互聯網來尋找暴露的數據庫和其他漏洞，數據庫暴露的時間越長，惡意行為者發現并利用它的風險就越高。在某些情況下，當我們收到信號表明第三方組織（非客戶）可能會遭到威脅行為者入侵時，我們也會通知他們，因為這樣做可以阻止進一步的攻擊，促進整個互聯網的安全。

通常，當我們向客戶和其他組織機構發出此類問題的警報時，這是他們第一次意識到自己可能被入侵了。他們收到通知后，可以進行調查來決定需要采取哪些措施來保護自己，防止可能導致中斷或進一步攻擊的事件的發生。我們的通知通常還包括組織機構可以采取的行動建議，例如審查特定域名的安全日志并阻止它們，實施緩解措施，更改配置，進行取證調查，安裝最新補丁或將基礎設施置于網絡防火墻之后。這些主動行動能幫助相關組織機構在潛在威脅發生之前就采取行動，而不是在事件發生后才做出反應。

有時，我們通知的客戶和其他組織機構也會反過來提供一些信息，讓我們能進一步為他人提供幫助。如果受影響的組織機構在調查后向我們提供相關的入侵指標（indicators of compromise，IOC），這些信息可用于提升我們對入侵發生方式的理解。這種理解可能會帶來重要的洞察，我們可以與他人分享這些洞察，他們進而利用這些信息采取行動來改善自身的安全態勢——這是一個良性循環，通過協作促進安全。例如，我們收到的信息可能會幫助我們了解一個社會工程學攻擊或特定的網絡釣魚活動是如何通過在受害者系統上安裝惡意軟件來破壞一個組織的安全。或者，我們可能會收到用于實施入侵的零日漏洞信息，或了解如何使用一個遠程代碼執行(RCE)攻擊來運行惡意代碼和其他惡意軟件來竊取數據。然后，我們可以使用和分享這些情報來保護客戶和其他第三方。當大家相互合作、共享資源、情報和專業知識時，這種協作和協調響應會更加有效。

亞馬遜云科技運營著可靠的云基礎設施，這讓我們擁有獨特的視角觀測安全態勢和客戶每天面臨的威脅。我們分享的威脅情報提高了客戶和其他組織的安全性，這讓我們深受鼓舞，我們將繼續尋找更多能提供幫助的方式。

審核編輯 黃宇