AWS CIRT宣布推出AWS威胁技术目录 | AWS安全博客

作者：Steve de Vera、Nathan Bates和Cydney Stude
发布日期：2025年6月13日
分类：公告、中级（200）、安全、身份与合规
永久链接
评论
分享

2025年6月13日：本文更新修复了一个错误链接。

来自AWS客户事件响应团队（AWS CIRT）的问候。AWS CIRT是一个全天候、专业化的全球亚马逊云服务（AWS）团队，在AWS共享责任模型的客户侧，为客户在活跃安全事件期间提供支持。我们很高兴宣布推出AWS威胁技术目录。

当AWS CIRT在安全调查期间协助客户进行事件响应时，我们会收集AWS服务元数据，涉及威胁行为者针对AWS客户使用的策略和技术类型。我们利用这些信息构建内部数据集，包括入侵指标（IOCs）和威胁模式，以深入了解威胁行为者如何利用配置错误的AWS资源、过度宽松的访问权限，或他们试图实现目标的方法。

我们捕获这些元数据并在内部使用，以持续改进AWS服务，通过增加威胁行为者执行未经授权操作的难度，帮助客户提高安全性。例如，AWS CIRT通过调查安全事件捕获的一些元数据，其中威胁行为者使用Amazon Bedrock服务通过调用大型语言模型（LLMs）消耗令牌，这些数据已被用于补充Amazon GuardDuty IAM异常行为发现。今年早些时候，AWS CIRT发现Amazon S3中使用一种称为客户端提供密钥的服务器端加密（SSE-C）的加密方法的数据加密事件有所增加。AWS CIRT使用AWS威胁技术目录对这些安全事件中识别的新技术进行分类，以便在内部和其他亚马逊安全团队之间进行沟通。

我们收到AWS客户的反馈，表示如果能够获取AWS CIRT观察到的对抗性战术、技术和程序（TTPs）信息，将非常有价值且有帮助，这样他们就可以利用这些信息更安全地配置其AWS资源。在过去的一年中，我们一直与MITRE合作，将这些技术和子技术提供给全球安全社区。作为这次合作的结果，MITRE在其2024年10月的更新周期中更新并添加了其中一些技术到MITRE ATT&CK®中（例如，数据销毁：生命周期触发的删除）。

“我们非常赞赏AWS与我们分享的见解，这激发了MITRE ATT&CK十月版本中多项技术的改进。为了让ATT&CK跟上最新威胁，需要有益于生态系统的社区贡献，我们重视AWS作为ATT&CK社区的一部分。” – Adam Pennington，MITRE ATT&CK项目负责人，MITRE

公司、实体和组织使用ATT&CK来帮助理解、优先处理和保护其本地环境免受威胁，我们相信利用现有框架呈现这些对抗性技术将为AWS客户和全球安全社区提供能力，以与AWS CIRT相同的方式识别和分类其AWS基础设施上的威胁。

基于MITRE ATT&CK Cloud的AWS威胁技术目录扩展了这些贡献，并包括AWS CIRT观察到的特定于AWS的对抗性技术类别，以及缓解这些技术和检测方法的信息。例如，您可以访问AWS威胁技术目录，按您账户中的AWS服务进行筛选，并查看有助于使您的环境更安全的内容。“入门”部分包括您可以使用AWS威胁技术目录的其他方式。我们将继续更新并提供对AWS威胁技术目录的额外更改，以帮助指导您使AWS环境更安全，并将继续与MITRE合作，向他们告知新的和趋势性的威胁行为者技术。

要开始使用，请访问AWS威胁技术目录。

© 2025 The MITRE Corporation。本作品经The MITRE Corporation许可复制和分发。

如果您对此帖子有反馈，请在下面的评论部分提交评论。

作者简介

Steve de Vera
Steve是AWS客户事件响应团队（CIRT）的经理，专注于威胁研究和威胁情报。他热衷于美式烧烤，并是一名认证的竞赛烧烤评委。他有一只名叫Brisket的狗。

Cydney Stude
Cydney是AWS客户事件响应团队（CIRT）的安全工程师，专攻事件响应和云安全。Cydney专注于技术深度和处理复杂云挑战的实际经验。工作之余，Cydney喜欢跳莎莎舞和与她的德国牧羊犬一起冒险。

Nathan Bates
Nathan是全局服务安全部门的高级安全工程师。他专长于漏洞管理、策略合规、资产保证、事件响应和威胁情报的数据、分析和报告服务。Nathan热衷于高性能驾驶、赛车、弹吉他和制作音乐。

标签： 事件响应、安全、安全博客、威胁检测