AWS主动防御技术升级:恶意软件拦截、漏洞狩猎与凭证保护

本文详细介绍了AWS在主动防御领域的技术进展,包括通过MadPot蜜罐和Sonaris网络缓解系统拦截恶意软件传播,利用扩展的威胁检测能力应对软件漏洞攻击,以及通过IAM凭证保护机制防止资源误配置。AWS通过多层防护架构和实时威胁情报,每日阻止数亿次攻击尝试。

AWS如何改进主动防御以赋能客户 | AWS安全博客

在AWS,安全是首要任务。今天我们很高兴分享为实现“使AWS成为运行任何工作负载最安全场所”目标所做的努力。在之前的博客文章中,我们分享了内部主动防御系统的细节,如MadPot(全球蜜罐)、Mithra(域图神经网络)和Sonaris(网络缓解措施)。我们仍在不断创新方法,提高威胁情报和自动响应的有效性,以检测并帮助防止攻击。今天我们将分享与恶意软件、软件漏洞和AWS资源配置错误相关的主动防御进展。与我们链接的其他文章一样,这些是客户仅通过接入AWS网络即可获得的持续改进能力。我们将在2025年re:inforce大会的SEC302创新讲座中深入讨论这些主题。

阻止恶意软件传播

出于经济动机的威胁行为者试图获取各种网络资产的访问权限。他们控制的资源越多,隐藏的地方就越多,从滥用操作中获利的时间就越长。因此,威胁行为者的恶意软件通常包含扫描新目标、通过网络复制二进制文件并重复的模块。如果不加以控制,这种快速传播行为可能导致网络拥塞、服务可用性丧失和数据破坏。我们希望尽可能帮助防止这种行为。

我们采用的一个有效策略是识别威胁行为者集中控制恶意软件的关键基础设施。我们使用多种技术来识别、验证、跟踪和破坏威胁基础设施。利用网络流量日志、蜜罐交互和来自多个传感器位置的恶意软件样本,我们缓解僵尸网络、滥用代理和对等恶意软件。在过去12个月中,AWS帮助防止了超过400万次恶意软件感染尝试,涉及31.5万个不同的Amazon Elastic Compute Cloud(Amazon EC2)实例。通过保护工作负载免受这些恶意软件感染,我们不仅保护我们的网络和客户,还保护更广泛的互联网免受进一步恶意软件扩展的影响。

如今,我们在网络路由级别为客户应用主动防御措施。在某些情况下,我们决定不采取行动,因为这些云网络路由变更的规模可能影响合法的客户工作负载。在这些情况下,AWS网络防火墙现在让您能够为独特的工作负载控制此安全决策。利用Amazon威胁情报,新的主动威胁防御托管规则组使您能够保护Amazon Virtual Private Cloud(Amazon VPC)工作负载免受在AWS全球基础设施中观察到的威胁活动的影响。启用后,您可以使用它配置托管规则,查看匹配流量上的危害指标,并自动阻止与威胁行为者基础设施相关的可疑流量,如命令与控制通信、嵌入URL和恶意域。

威胁狩猎和缓解软件漏洞的进展

在Amazon,我们自豪地通过错误赏金、漏洞披露和开源贡献计划支持软件漏洞研究。通过成为Amazon提供的软件和服务的CVE编号机构(CNA),我们也更积极地参与CVE流程。得益于公共CVE数据库,我们看到漏洞研究加速,自2013年以来报告的CVE年同比增长21%,2024年发布了超过4万个CVE。这种发现和解决漏洞的良性循环随着时间的推移改善了网络安全,但AWS发现威胁行为者搜索未解决的漏洞以获取对资源的未经授权访问。

我们扩展了MadPot和Sonaris,以识别和阻止更广泛的恶意漏洞扫描和利用活动,保护每个AWS客户免受漏洞暴露的影响。我们添加了数百个新检测和MadPot服务模拟以识别真实攻击。随着我们扩大可见性,我们继续每天在AWS网络上阻止数亿次CVE利用尝试。

随着我们使这些主动防御系统更好地阻止CVE利用攻击,过去12个月中攻击总数下降了超过55%,如图1所示。在这个观察中有许多我们无法控制的因素,但我们很高兴看到更少的CVE利用攻击。这一趋势与我们在2025年实现的检测、区域化、延迟和防护栏改进相吻合。没有系统可以阻止一切,因此更少的利用尝试意味着跨广泛工作负载的风险降低。

图1:显示全球恶意漏洞利用尝试减少的图表

这项识别野外已知利用的工作直接使Amazon Inspector中的漏洞情报用户受益,该服务提供Amazon Inspector评分,帮助客户优先分配安全加固资源。这包括最近观察到的利用尝试日期、与利用活动相关的MITRE ATT&CK技术以及目标行业。

保护基于AWS构建的架构

AWS积极为客户防御计算和网络资源;我们还防御客户依赖的独特AWS原生资源。AWS访问密钥凭证是允许访问客户账户的关键资源。AWS Identity and Access Management最佳实践分享了经过验证的技术,帮助客户防止其凭证被滥用。通过主动防御,我们为尚未采用这些最佳实践的客户做更多工作。

每天,AWS平均帮助防止1.67亿次寻求无意中暴露的AWS访问密钥对的恶意扫描连接。如果访问密钥通过其他方式被发现,我们扩展了对客户管理的IAM凭证的保护。当我们的威胁情报分析显示客户管理的凭证被威胁行为者知晓时,我们实施缓解措施以限制对高特权操作的访问。我们还发送定制通知,帮助客户识别凭证是如何暴露的。这些努力每天都在为我们的客户带来回报;以下回应是我们经常听到的一个好例子:

这是几周前根据您的另一个警报我们已经轮换的密钥。结果新轮换的密钥恰好出现在您给我们的第二个警报中。这意味着与该密钥链接的应用程序仍在泄漏它。 因此周一我们与开发团队坐下来,找到了应用程序泄漏一些秘密的地方,我们修补了它,我轮换了所有暴露的秘密(不止IAM密钥),并在应用程序中插入了额外的安全性。 所以再次感谢这些警报,它们非常宝贵。——AWS客户

在2024年11月和12月的一个特定威胁活动案例中,客户报告了针对其Amazon Simple Storage Service(Amazon S3)存储中对象的勒索软件活动。我们看到这些勒索威胁与暴露的客户管理的IAM密钥高度相关。我们对暴露的密钥应用了隔离,注意确保正常的客户操作可以安全继续。我们重新发送了关于可能暴露密钥的主动通知,因为攻击风险升高。在此期间,我们与客户合作停用了超过3万个暴露的凭证。自该威胁活动开始以来,AWS帮助防止了超过9.43亿次加密客户Amazon S3对象的恶意尝试。

这些凭证暴露检测流入Amazon GuardDuty扩展威胁检测,简化了现代云环境的威胁检测和响应操作。

更好的协同

AWS采取的主动防御方法展示了如何通过跨基础设施堆栈分层保护和利用威胁情报来驱动风险降低,从而改善安全。通过将主动防御构建到我们的服务中且无需额外成本,AWS帮助我们的客户免受各种威胁的保护。

虽然我们继续不断改进对客户的保护,但我们的一些工作本质上是概率性的,因为我们从未查看客户工作负载内部。我们在检测模糊的情况下不应用主动防御,因为这可能影响客户的生产系统。为了保持安全,客户绝不应放松自己的防御。AWS安全服务如AWS Identity and Access Management(IAM)、AWS Shield Advanced、AWS WAF、AWS Network Firewall、Amazon GuardDuty和Amazon Inspector提供预防、检测和响应,客户可以根据其独特需求进行配置。好消息是,通过共同努力,我们正在使互联网对每个人都更安全。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次