AWS如何改进主动防御以赋能客户

在AWS，安全是首要任务。今天我们很高兴分享为实现“使AWS成为运行任何工作负载最安全场所”目标所做的努力。在此博客的早期文章中，我们分享了内部主动防御系统的细节，如MadPot（全球蜜罐）、Mithra（域图神经网络）和Sonaris（网络缓解措施）。我们仍在不断创新方法，以提高威胁情报和自动响应的有效性，从而检测并帮助防止攻击。今天我们将分享与恶意软件、软件漏洞和AWS资源配置错误相关的主动防御进展。与我们链接的其他文章一样，这些是客户只需接入AWS网络即可获得的持续改进能力。我们将在2025年re:inforce大会的SEC302创新讲座中更深入讨论这些主题。

阻止恶意软件传播

以经济利益为动机的威胁行为者试图获取各种网络资产的访问权限。他们控制的资源越多，隐藏的地方就越多，从滥用操作中获利的时间就越长。因此，威胁行为者的恶意软件通常包含扫描新目标、通过网络复制二进制文件然后重复的模块。如果不加控制，这种快速传播行为可能导致网络拥塞、服务可用性损失和数据破坏。我们希望尽可能帮助防止这种行为。

我们采用的一种有效策略是识别威胁行为者集中控制恶意软件的关键基础设施。我们使用多种技术来识别、验证、跟踪和破坏威胁基础设施。利用网络流量日志、蜜罐交互和来自多个传感器位置的恶意软件样本，我们缓解僵尸网络、滥用代理和对等恶意软件。在过去12个月中，AWS帮助防止了超过400万次恶意软件感染尝试，涉及31.5万个不同的Amazon Elastic Compute Cloud（Amazon EC2）实例。通过保护工作负载免受这些恶意软件感染，我们不仅保护我们的网络和客户，还保护更广泛的互联网免受进一步恶意软件扩展的影响。

如今，我们在网络路由层面为客户应用主动防御措施。在某些情况下，我们决定不采取行动，因为这些云网络路由变化的规模可能影响合法的客户工作负载。在这些情况下，AWS Network Firewall现在让您能够为独特的工作负载控制此安全决策。利用Amazon威胁情报，新的主动威胁防御托管规则组使您能够保护Amazon Virtual Private Cloud（Amazon VPC）工作负载免受在AWS全球基础设施中观察到的威胁活动的影响。启用后，您可以使用它配置托管规则，查看匹配流量上的危害指标，并自动阻止与威胁行为者基础设施相关的可疑流量，如命令和控制通信、嵌入式URL和恶意域。

威胁狩猎和缓解软件漏洞的进展

在Amazon，我们自豪地通过漏洞赏金、漏洞披露和开源贡献计划支持软件漏洞研究。我们还通过成为Amazon提供的软件和服务的CVE编号机构（CNA），更积极地参与CVE流程。得益于公共CVE数据库，我们看到漏洞研究加速，自2013年以来报告的CVE同比增长21%，2024年发布了超过4万个CVE。这种发现和解决漏洞的良性循环随着时间的推移改善了网络安全，但AWS看到威胁行为者搜索未解决的漏洞以获取对资源的未经授权访问。

我们扩展了MadPot和Sonaris，以识别和阻止更广泛的恶意漏洞扫描和利用活动，保护每个AWS客户免受漏洞暴露的影响。我们添加了数百个新检测和MadPot服务模拟来识别真实攻击。随着我们扩大可见性，我们继续每天在AWS网络上阻止数亿次CVE利用尝试。

随着我们使这些主动防御系统更好地阻止CVE利用攻击，过去12个月中攻击总数下降了超过55%，如图1所示。在这个观察中有许多我们无法控制的因素，但我们很高兴看到更少的CVE利用攻击。这一趋势与我们在2025年实现的检测、区域化、延迟和防护栏改进相吻合。没有系统可以阻止一切，因此更少的利用尝试意味着跨广泛工作负载的风险更小。

图1：显示全球恶意漏洞利用尝试减少的图表

这项识别野外已知漏洞利用的工作直接使Amazon Inspector中的漏洞情报用户受益，该服务为客户提供Amazon Inspector评分，以优先考虑安全强化资源的投入。这包括最近观察到的利用尝试日期、与利用活动相关的MITRE ATT&CK技术以及目标行业。

保护基于AWS构建的架构

AWS积极为客户防御计算和网络资源；我们还防御客户依赖的独特AWS原生资源。AWS访问密钥凭证是允许访问客户账户的关键资源。AWS Identity and Access Management最佳实践分享了经过验证的技术，帮助客户防止其凭证被滥用。通过主动防御，我们为尚未采用这些最佳实践的客户做更多工作。

每天，AWS帮助防止平均1.67亿次寻求意外暴露的AWS访问密钥对的恶意扫描连接。如果通过其他方式发现访问密钥，我们扩展了对客户管理的IAM凭证的保护。当我们的威胁情报分析显示客户管理的凭证被威胁行为者知晓时，我们实施缓解措施以限制对高特权操作的访问。我们还发送定制通知，帮助客户识别凭证是如何暴露的。这些努力每天都在为我们的客户带来回报；以下回应是我们经常听到的一个好例子：

这是几周前根据您的另一个警报我们已经轮换的密钥。结果发现新轮换的密钥恰好出现在您给我们的第二个警报中。所以这意味着与该密钥链接的应用程序仍在泄漏它。 因此周一我们与开发团队坐下来，找到了应用程序泄漏一些秘密的地方，我们修补了它，我轮换了所有暴露的秘密（不止IAM密钥），并在应用程序中插入了额外的安全性。 所以再次感谢这些警报，它们非常宝贵。——AWS客户

在2024年11月和12月威胁活动的特定案例中，客户报告了针对其Amazon Simple Storage Service（Amazon S3）存储中对象的勒索软件活动。我们看到这些勒索威胁与暴露的客户管理的IAM密钥高度相关。我们对暴露的密钥应用了隔离，注意确保正常的客户操作可以安全继续。我们重新发送了关于可能暴露密钥的主动通知给客户，因为攻击风险升高。在此期间，我们与客户合作停用了超过3万个暴露的凭证。自这种威胁活动开始以来，AWS帮助防止了超过9.43亿次加密客户Amazon S3对象的恶意尝试。

这些凭证暴露检测流入Amazon GuardDuty Extended Threat Detection，简化了现代云环境的威胁检测和响应操作。

携手共进

AWS采取的主动防御方法展示了如何通过跨基础设施堆栈分层保护和利用威胁情报驱动风险降低来改善安全。通过将主动防御构建到我们的服务中且无需额外成本，AWS帮助客户免受各种威胁的保护。

虽然我们继续不断改进对客户的保护，但我们的一些工作本质上是概率性的，因为我们从未看到客户工作负载内部。我们在检测模糊的情况下不应用主动防御，因为这可能影响客户的生产系统。为了保持安全，客户绝不应放松自己的防御。AWS安全服务如AWS Identity and Access Management（IAM）、AWS Shield Advanced、AWS WAF、AWS Network Firewall、Amazon GuardDuty和Amazon Inspector提供预防、检测和响应，客户可以根据其独特需求进行配置。好消息是，通过共同努力，我们正在为每个人使互联网更安全。

如果您对此帖子有反馈，请在下面的评论部分提交评论。