AWS Germany – Amazon Web Services in Deutschland
Einführung von Amazon GuardDuty Extended Threat Detection: KI/ML-basierte Erkennung von Angriffssequenzen für verbesserte Cloud-Sicherheit
von Esra Kayabali übersetzt durch Desiree Brunner
In diesem Beitrag stelle ich Ihnen die erweiterten Künstliche Intelligenz (KI)/ Maschinelles Lernen (ML)-Bedrohungserkennungsfunktionen in Amazon GuardDuty vor. Diese neue Funktion nutzt die umfassende Cloud-Sichtbarkeit und Skalierbarkeit von AWS, um eine verbesserte Bedrohungserkennung für Ihre Anwendungen, Workloads und Daten zu bieten. Die erweiterte Bedrohungserkennung von GuardDuty setzt fortschrittliche KI/ML ein, um sowohl bekannte als auch bisher unbekannte Angriffssequenzen zu identifizieren und bietet so einen umfassenderen und proaktiveren Ansatz für die Cloud-Sicherheit. Diese Erweiterung adressiert die wachsende Komplexität moderner Cloud-Umgebungen und das sich entwickelnde Bedrohungsumfeld, indem sie die Bedrohungserkennung und -reaktion vereinfacht.
Viele Organisationen stehen vor der Herausforderung, die hohe Anzahl von Sicherheitsereignissen, die in ihren Cloud-Umgebungen generiert werden, effizient zu analysieren und darauf zu reagieren. Mit der zunehmenden Häufigkeit und Komplexität von Sicherheitsbedrohungen wird es immer schwieriger, Angriffe, die sich als Sequenzen von Ereignissen über einen längeren Zeitraum erstrecken, effektiv zu erkennen und darauf zu reagieren. Sicherheitsteams haben oft Schwierigkeiten, zusammenhängende Aktivitäten zu identifizieren, die Teil eines größeren Angriffs sein könnten, wodurch kritische Bedrohungen möglicherweise übersehen oder zu spät erkannt werden, um schwerwiegende Auswirkungen zu verhindern.
Um diese Herausforderungen anzugehen, haben wir die Bedrohungserkennungsfunktionen von GuardDuty um neue KI/ML-Fähigkeiten erweitert, die Sicherheitssignale korrelieren, um aktive Angriffssequenzen in Ihrer AWS-Umgebung zu identifizieren. Diese Sequenzen können mehrere Schritte umfassen, die von einem Angreifer unternommen werden, wie z.B. die Ermittlung von Privilegien bei der Zugriffsverwaltung, API-Manipulation, Persistenzaktivitäten und Datenexfiltration. Diese Erkennungen werden als Angriffssequenz-Erkennungen dargestellt, eine neue Art von GuardDuty-Erkennung mit kritischem Schweregrad. Bisher hatte GuardDuty niemals einen kritischen Schweregrad verwendet und diese Stufe für Erkennungen mit höchster Vertrauenswürdigkeit und Dringlichkeit reserviert. Diese neuen Erkennungen führen den kritischen Schweregrad ein und enthalten eine natürlichsprachliche Zusammenfassung der Art und Bedeutung der Bedrohung, beobachtete Aktivitäten, die den Taktiken und Techniken des MITRE ATT&CK® [EN, Extern]-Frameworks zugeordnet sind, sowie präskriptive Abhilfemaßnahmen basierend auf AWS bewährten Methoden.
Die erweiterte Bedrohungserkennung von GuardDuty führt neue Angriffssequenz-Erkennungen ein und verbessert die Handhabbarkeit bestehender Erkennungen in Bereichen wie Anmeldedatenexfiltration, Privilegienerweiterung und Datenexfiltration. Diese Erweiterung ermöglicht es GuardDuty, zusammengesetzte Erkennungen bereitzustellen, die sich über mehrere Datenquellen, Zeiträume und Ressourcen innerhalb eines Kontos erstrecken, um Ihnen ein umfassenderes Verständnis komplexer Cloud-Angriffe zu vermitteln.
Lassen Sie mich zeigen, wie die neuen Funktionen funktionieren.
So verwenden Sie die neue KI/ML-Bedrohungserkennung in Amazon GuardDuty
Um die neue KI/ML-Bedrohungserkennung in GuardDuty zu erleben, gehen Sie zur Amazon GuardDuty-Konsole und erkunden Sie die neuen Widgets auf der Seite Zusammenfassung. Das Übersichts-Widget hilft Ihnen nun, die Anzahl der Angriffssequenzen anzuzeigen und die Details dieser Angriffssequenzen zu berücksichtigen. Erkennungen in der Cloud-Umgebung zeigen oft mehrstufige Angriffe, aber diese komplexen Angriffssequenzen haben ein geringes Volumen und machen nur einen kleinen Bruchteil der Gesamtzahl der Erkennungen aus. Für dieses bestimmte Konto können Sie eine Vielzahl von Erkennungen in der Cloud-Umgebung beobachten, aber nur eine Handvoll tatsächlicher Angriffssequenzen. In einer größeren Cloud-Umgebung sehen Sie möglicherweise Hunderte oder sogar Tausende von Erkennungen, aber die Anzahl der Angriffssequenzen wird im Vergleich dazu wahrscheinlich relativ gering bleiben.
Wir haben auch ein neues Widget hinzugefügt, das Ihnen hilft, die Erkennungen nach Schweregrad aufgeschlüsselt anzuzeigen. So können Sie schnell zu den für Sie interessanten spezifischen Erkennungen wechseln und diese untersuchen. Die Erkennungen werden nun nach Schweregrad sortiert, wodurch Sie einen klaren Überblick über die kritischsten Probleme erhalten, einschließlich einer zusätzlichen Kategorie Kritisch, die sicherstellt, dass die dringendsten Erkennungen sofort in Ihren Fokus rücken. Sie können auch nur nach den Angriffssequenzen filtern, indem Sie Nur die häufigsten Angriffssequenzen auswählen.
Diese neue Funktion ist standardmäßig aktiviert, sodass Sie keine zusätzlichen Schritte unternehmen müssen, damit sie zu arbeiten beginnt. Es fallen keine zusätzlichen Kosten für diese Funktion an, abgesehen von den zugrunde liegenden Gebühren für GuardDuty und die zugehörigen Schutzpläne. Wenn Sie zusätzliche GuardDuty-Schutzpläne aktivieren, bietet diese Funktion mehr integrierte Sicherheitswerte und hilft Ihnen, tiefere Einblicke zu gewinnen.
Sie können zwei Arten von Erkennungen beobachten. Die erste ist Datenkompromittierung, die auf eine mögliche Datenkompromittierung hinweist, die Teil eines größeren Ransomware-Angriffs sein kann. Daten sind für die meisten Kunden das kritischste Unternehmensvermögen, weshalb dies ein wichtiger Bereich ist. Die zweite Erkennung ist der Typ kompromittierte Anmeldedaten, der Ihnen hilft, den Missbrauch kompromittierter Anmeldedaten zu erkennen, was typischerweise in den früheren Phasen eines Angriffs in Ihrer Cloud-Umgebung auftritt.
Lassen Sie mich näher auf eine der Datenkompromittierungs-Erkennungen eingehen. Ich konzentriere mich auf „Mögliche Datenkompromittierung eines oder mehrerer S3-Buckets, die eine Sequenz von Aktionen über mehrere Signale umfasst, die einem Benutzer in Ihrem Konto zugeordnet sind“. Diese Erkennung zeigt an, dass wir eine Datenkompromittierung über mehrere Amazon Simple Storage Service (Amazon S3)-Buckets mit mehreren zugehörigen Signalen beobachtet haben.
Die zusammenfassende Beschreibung dieser Erkennung gibt Ihnen wichtige Details, einschließlich des spezifischen Benutzers (identifiziert durch seine Principal-ID), der die Aktionen ausgeführt hat, des betroffenen Kontos und der Ressourcen sowie des erweiterten Zeitraums (fast einen ganzen Tag), über den sich die Aktivität erstreckte. Diese Informationen können Ihnen helfen, den Umfang und den Schweregrad der möglichen Kompromittierung schnell zu verstehen.
Dieser Befund weist acht verschiedene Signale auf, die über einen Zeitraum von fast 24 Stunden beobachtet wurden und auf den Einsatz mehrerer Taktiken und Techniken hinweisen, die dem MITRE ATT&CK®-Framework zugeordnet sind. Diese breite Abdeckung der Angriffskette – von Zugriffsdaten über Erkennung, Umgehung, Persistenz bis hin zu Auswirkungen und Datenexfiltration – lässt vermuten, dass es sich tatsächlich um einen echten Zwischenfall handeln könnte. Der Befund zeigt auch eine besorgniserregende Technik der Datenzerstörung auf, was besonders alarmierend ist.
Darüber hinaus liefert GuardDuty weitere Sicherheitskontexte, indem es sensible API-Aufrufe wie die Löschung des AWS CloudTrail-Trails durch den Benutzer hervorhebt. Dieses Umgehungsverhalten in Kombination mit der Erstellung neuer Zugriffsschlüssel und Aktionen, die auf Amazon S3-Objekte abzielen, verstärkt den Schweregrad und den möglichen Umfang des Zwischenfalls weiter. Basierend auf den in diesem Befund präsentierten Informationen sollten Sie diesen Vorfall gründlicher untersuchen.
Die Überprüfung der mit den Befunden verbundenen ATT&CK-Taktiken bietet Einblick in die spezifischen beteiligten Taktiken, unabhängig davon, ob es sich um eine einzelne oder mehrere Taktiken handelt. GuardDuty bietet auch Sicherheitsindikatoren, die erklären, warum die Aktivität als verdächtig eingestuft und mit einem kritischen Schweregrad bewertet wurde, einschließlich der aufgerufenen risikoreichen APIs und der beobachteten Taktiken.
Bei einer tiefergehenden Analyse können Sie Details über den verantwortlichen Akteur einsehen. Die Informationen umfassen, wie der Benutzer eine Verbindung hergestellt und diese Aktionen durchgeführt hat, einschließlich der Netzwerkstandorte. Dieser zusätzliche Kontext hilft Ihnen, den vollen Umfang und die Art des Zwischenfalls besser zu verstehen, was für die Untersuchung und Reaktion entscheidend ist. Sie können präskriptive Abhilfemaßnahmen auf der Grundlage von AWS bewährten Methoden befolgen, die Ihnen handlungsorientierte Einblicke bieten, um identifizierte Erkennungen schnell zu beheben und zu lösen. Diese maßgeschneiderten Empfehlungen helfen Ihnen, Ihre Cloud-Sicherheitsposition zu verbessern und die Ausrichtung an Sicherheitsrichtlinien sicherzustellen.
Die Registerkarte Signale kann nach neuesten oder ältesten Signalen sortiert werden. Wenn Sie auf einen aktiven Angriff reagieren, sollten Sie mit den neuesten Signalen beginnen, um die Situation schnell zu verstehen und abzumildern. Bei einer Nachuntersuchung können Sie von den ersten Aktivitäten zurückverfolgen. Durch Eintauchen in jede Aktivität erhalten Sie detaillierte Informationen über den spezifischen Befund. Wir bieten auch eine Schnellansicht über Indikatoren, Akteure und Endpunkte, um zusammenzufassen, was passiert ist und wer gehandelt hat.
Eine weitere Möglichkeit, die Details zu verfolgen, besteht darin, auf die Registerkarte Ressourcen zuzugreifen, wo Sie die verschiedenen beteiligten Buckets und Zugriffsschlüssel überprüfen können. Für jede Ressource können Sie nachsehen, welche Taktiken und Techniken angewendet wurden. Wählen Sie die offene Ressource aus, um direkt zur relevanten Konsole zu wechseln und weitere Details zu erfahren.
Wir haben eine Ganzseiten-Ansicht für GuardDuty-Befunde eingeführt, damit Sie alle kontextuellen Daten an einem Ort sehen können. Die traditionelle Befundseite mit dem Seitenpanel ist jedoch nach wie vor verfügbar, falls Sie dieses Layout bevorzugen, das eine Schnellansicht der Details für bestimmte Befunde bietet.
Die erweiterte Bedrohungserkennung von GuardDuty ist für alle GuardDuty-Konten in einer Region automatisch aktiviert und nutzt grundlegende Datenquellen, ohne dass zusätzliche Schutzpläne erforderlich sind. Die Aktivierung zusätzlicher Schutzpläne erweitert den Umfang der analysierten Sicherheitssignale und verbessert die Fähigkeit des Dienstes, komplexe Angriffssequenzen zu erkennen. GuardDuty empfiehlt speziell die Aktivierung des S3-Schutzes, um potenzielle Datenkompromittierungen in Amazon S3-Buckets zu erkennen. Ohne aktivierten S3-Schutz kann GuardDuty keine S3-spezifischen Befunde generieren oder Angriffssequenzen mit S3-Ressourcen identifizieren, was seine Fähigkeit zur Erkennung von Datenkompromittierungsszenarien in Ihrer Amazon S3-Umgebung einschränkt.
Die erweiterte Bedrohungserkennung von GuardDuty ist in die bestehenden GuardDuty-Workflows integriert, einschließlich AWS Security Hub, Amazon EventBridge und Sicherheitsereignismanagementsysteme von Drittanbietern.
Jetzt verfügbar
Die erweiterte Bedrohungserkennung von Amazon GuardDuty verbessert die Cloud-Sicherheit erheblich, indem sie die Analyse komplexer Angriffssequenzen automatisiert und handlungsorientierte Einblicke liefert. So können Sie sich auf die Behebung der kritischsten Bedrohungen konzentrieren und die für die manuelle Analyse erforderliche Zeit und Mühe reduzieren.
Diese Funktionen sind für alle neuen und bestehenden GuardDuty-Kunden in allen kommerziellen AWS-Regionen in denen GuardDuty unterstützt wird, automatisch und kostenlos aktiviert.
Um mehr zu erfahren und von diesen neuen Funktionen zu profitieren, besuchen Sie die Amazon GuardDuty-Dokumentation.