AWS CIRT宣布推出AWS威胁技术目录

AWS客户事件响应团队（AWS CIRT）宣布推出AWS威胁技术目录。AWS CIRT是一个全天候、专业化的全球团队，在AWS共享责任模型的客户侧，为安全事件提供支持。

在协助客户进行安全调查和事件响应时，AWS CIRT收集AWS服务元数据，涵盖威胁行为者针对AWS客户使用的策略和技术类型。这些信息用于构建内部数据集，包括入侵指标（IOCs）和威胁模式，以深入了解威胁行为者如何利用配置错误的AWS资源、过度宽松的访问权限或他们尝试实现目标的方法。

这些元数据被内部用于持续改进AWS服务，通过增加威胁行为者执行未经授权操作的难度，使客户环境更加安全。例如，AWS CIRT通过调查威胁行为者使用Amazon Bedrock服务调用大型语言模型（LLMs）消耗令牌的安全事件，收集的元数据已用于补充Amazon GuardDuty IAM异常行为发现。今年早些时候，AWS CIRT发现Amazon S3中使用客户端提供密钥的服务器端加密（SSE-C）方法的数据加密事件有所增加。AWS CIRT使用AWS威胁技术目录对这些安全事件中识别的新技术进行分类，以便在内部和其他Amazon安全团队之间进行沟通。

AWS客户反馈表示，如果能够获取AWS CIRT观察到的对抗性战术、技术和程序（TTPs）信息，将非常有价值，有助于他们更安全地配置AWS资源。过去一年，我们与MITRE合作，将这些技术和子技术提供给全球安全社区。作为合作成果，MITRE在2024年10月更新周期中更新并添加了部分技术（例如，“数据销毁：生命周期触发的删除”）。

MITRE ATT&CK项目负责人Adam Pennington表示：“我们非常感谢AWS分享的见解，这推动了10月发布的MITRE ATT&CK中多项技术的改进。为了让ATT&CK跟上最新威胁，需要有益于生态系统的社区贡献，我们重视AWS作为ATT&CK社区的一部分。”

公司、实体和组织使用ATT&CK来帮助理解、优先处理和保护其本地环境免受威胁。我们相信，利用现有框架呈现这些对抗性技术，将使AWS客户和全球安全社区能够以与AWS CIRT相同的方式识别和分类其AWS基础设施上的威胁。

基于MITRE ATT&CK Cloud的AWS威胁技术目录扩展了这些贡献，包括AWS CIRT观察到的、特定于AWS的对抗性技术类别，以及缓解和检测这些技术的方法信息。例如，您可以访问AWS威胁技术目录，按账户中的AWS服务进行过滤，并查看有助于使环境更安全的内容。“入门”部分提供了使用该目录的其他方式。我们将继续更新AWS威胁技术目录，提供更多变更，以帮助指导您使AWS环境更加安全，并继续与MITRE合作，告知他们新的和流行的威胁行为者技术。

要开始使用，请访问AWS威胁技术目录。
© 2025 The MITRE Corporation。本作品经The MITRE Corporation许可复制和分发。