Amazon GuardDuty 기능

GuardDuty는 거의 실시간으로 지속적으로 요인을 모니터링하지 않는 한 신속하게 탐지하기 매우 어려운 계정 침해에 대해 정확한 위협 탐지를 제공합니다. GuardDuty는 이례적인 시간에 특이한 지리적 위치에서 AWS 리소스에 액세스하는 등의 계정 침해 징후를 탐지할 수 있습니다. 프로그래밍 방식의 AWS 계정의 경우 GuardDuty는 CloudTrail 로깅을 비활성화하거나 악의적 IP 주소에서 데이터베이스 스냅샷을 생성하여 계정 활동을 보기 어렵게 하려는 시도 등 비정상적인 API 호출을 확인합니다.

GuardDuty는 CloudTrail, VPC 흐름 로그 및 DNS 로그에서 수집된 AWS 계정 및 워크로드 이벤트 데이터를 지속적으로 모니터링하고 분석합니다. GuardDuty에서 기본 보호 기능을 사용하기 위해 추가로 배포하고 유지 관리할 보안 소프트웨어 또는 인프라는 없습니다. AWS 계정을 함께 연결하면 계정별로 작업하지 않고도 위협 탐지를 집계할 수 있습니다. 또한, 여러 계정에서 대량의 AWS 데이터를 수집, 분석 및 상호 연관시킬 필요가 없습니다. 사용자는 신속하게 대응하고 조직을 안전하게 유지하는 방법과 AWS에서 계속해서 확장하고 혁신해 나가는 데 집중할 수 있습니다.

GuardDuty는 클라우드용으로 개발 및 최적화된 내장된 탐지 기법에 액세스하는 데 도움이 됩니다. AWS 보안 팀은 이러한 탐지 알고리즘을 지속적으로 유지 관리하고 개선합니다. 기본 탐지 카테고리는 다음과 같습니다.

• 정찰: 비정상적인 API 활동, 의심스러운 데이터베이스 로그인 시도, VPC 내 포트 스캐닝, 실패한 로그인 요청의 특이한 패턴, 알려진 악성 IP에서 차단되지 않은 포트 탐색 등 공격자의 정찰로 보이는 활동
• 인스턴스 침해: 암호 화폐 마이닝, 백도어 명령 및 제어(C&C), Amazon EC2의 런타임 활동, 도메인 생성 알고리즘(DGA)을 사용하는 맬웨어, 아웃바운드 서비스 거부 활동, 비정상적으로 높은 네트워크 트래픽 볼륨, 비정상적인 네트워크 프로토콜, 알려진 악의적 IP를 통한 아웃바운드 인스턴스 통신, 외부 IP 주소에서 임시 Amazon EC2 보안 인증 정보 사용, DNS를 사용한 데이터 탈출 등 인스턴스 침해를 나타내는 활동
• 계정 침해: 계정 침해를 나타내는 일반적인 패턴에는 특이한 지리적 위치 또는 익명 프록시로부터 API 호출, AWS CloudTrail 로깅을 사용 중지하려는 시도, 계정 암호 정책을 약화시키는 변경 사항, 비정상적인 인스턴스 또는 인프라 시작, 특이한 리전에 인프라 배포, 보안 인증 정보 도용, 의심스러운 데이터베이스 로그인 활동 및 알려진 악의적 IP 주소로부터의 API 호출이 포함됩니다.
• 버킷 침해: 버킷 침해를 나타내는 활동입니다. 예를 들어 보안 인증 정보 악용을 나타내는 의심스러운 데이터 액세스 패턴, 원격 호스트의 비정상적인 Amazon S3 API 활동, 알려진 IP 주소로부터의 무단 S3 액세스, 버킷에 액세스한 기록이 없거나 비정상적인 위치에서 호출된 사용자가 S3 버킷에서 데이터를 검색하기 위한 API 호출 등이 있습니다. Amazon GuardDuty는 AWS CloudTrail S3 데이터 이벤트(예: GetObject, ListObjects, DeleteObject)를 지속적으로 모니터링 및 분석하여 모든 Amazon S3 버킷에서 의심스러운 활동을 탐지합니다.
• 멀웨어: GuardDuty는 Amazon EC2 인스턴스 또는 컨테이너 워크로드를 손상시키는 데 사용되거나 Amazon S3 버킷에 업로드되는 멀웨어(예: 트로이 목마, 웜, 크립토마이너, 루트킷 또는 봇)의 존재 여부를 탐지할 수 있습니다.
• 컨테이너 침해: 컨테이너 워크로드에서 악의적의거나 의심스러운 동작을 식별하는 활동은 Amazon EKS 또는 Amazon ECS에서 EKS 감사 로그 및 컨테이너 런타임 활동을 분석하여 Amazon EKS 클러스터를 지속적으로 모니터링하고 프로파일링하여 탐지됩니다.

GuardDuty 조사 결과 유형의 전체 목록은 여기에서 확인할 수 있습니다.

GuardDuty는 고객이 잠재적 위협에 대한 대응 우선순위를 지정하는 데 도움이 되도록 네 가지 심각도 수준(낮음, 보통, 높음, 중요)을 제공합니다. '낮음' 심각도 수준은 의심스럽거나 악의적인 활동이 리소스를 침해하기 전에 차단되었음을 나타냅니다. ‘보통’ 심각도 수준은 추가 조사가 필요한 의심스러운 활동을 나타냅니다. Tor 네트워크 뒤에 숨어 있는 원격 호스트로 많은 양의 트래픽이 반환되는 경우나, 일반적으로 관찰되는 동작과 다른 활동을 예로 들 수 있습니다. '높음' 심각도 수준은 문제의 리소스(예: EC2 인스턴스 또는 IAM 사용자 자격 증명 세트)가 침해되었고 무단 액세스에 적극적으로 사용되고 있음을 나타냅니다. ‘위험’ 심각도 수준은 즉각적인 주의가 필요한 고도의 위협을 나타냅니다. 이러한 조사 결과에 대해 알림을 설정하여 신속하게 대응하여 비즈니스에 미치는 영향을 최소화하는 것이 좋습니다.

GuardDuty는 HTTPS API 및 명령줄 인터페이스(CLI) 도구를 제공할 뿐만 아니라, Amazon EventBridge와의 통합을 통해 보안 조사 결과에 대한 자동화된 보안 대응을 지원합니다. 예를 들어 EventBridge를 Lambda 함수를 간접적으로 호출하는 이벤트 소스로 사용함으로써 대응 워크플로를 자동화할 수 있습니다.

GuardDuty는 AWS 계정, 워크로드, 데이터의 전반적인 활동 수준을 기준으로 리소스 사용률을 자동으로 관리하도록 설계되었습니다. GuardDuty는 필요할 때만 탐지 용량을 추가하고 용량이 더 이상 필요 없어지면 사용률을 줄입니다. 사용자는 이제 비용을 최소화하면서 필요한 보안 처리 성능을 유지할 수 있는 비용 효율적인 아키텍처를 갖추게 되었습니다. 탐지 용량을 사용할 때만 사용한 만큼 비용을 지불하면 됩니다. GuardDuty는 고객의 크기와 관계없이 대규모 보안을 제공합니다.

AWS Management Console에서 단일 작업 또는 단일 API 직접 호출로 단일 계정에서 GuardDuty를 활성화할 수 있습니다. 그리고 콘솔에서 몇 개 단계를 수행하여 여러 계정 전체에 GuardDuty를 활성화할 수 있습니다. GuardDuty에서는 AWS Organizations 통합을 통해 다중 계정을 지원하며 GuardDuty 내에서는 다중 계정이 기본적으로 지원됩니다. 활성화하면 GuardDuty가 즉시 거의 실시간 및 대규모로 계정과 네트워크 활동의 연속 스트림을 분석하기 시작합니다. 배포하거나 관리할 추가 보안 소프트웨어, 센서 또는 네트워크 어플라이언스는 없습니다. 위협 인텔리전스가 서비스에 사전 통합되어 있고 지속적으로 업데이트 및 유지 관리됩니다.

GuardDuty는 AWS 컴퓨팅 자산 전반의 컨테이너 워크로드에 대해 다른 방법으로는 달성하기 어렵고 복잡할 수 있는 포괄적인 보호를 제공합니다. Amazon EC2에서 서버 수준 제어로 실행되는 워크로드든 AWS Fargate를 통해 Amazon ECS에서 실행되는 현대적 서버리스 애플리케이션 워크로드든, GuardDuty는 잠재적으로 악의적이고 의심스러운 활동을 탐지하고, 런타임 모니터링을 통해 컨테이너 수준 컨텍스트를 제공하고, AWS 환경 전체에서 컨테이너 워크로드의 보안 범위 차이를 식별하도록 도움을 줍니다.

GuardDuty는 인공 지능(AI)과 기계 학습(ML)을 사용하여 AWS 계정, 워크로드 및 데이터를 대상으로 하는 복잡한 다단계 공격 시퀀스를 신속하게 식별합니다. 생성된 공격 시퀀스 조사 결과는 보안 이벤트를 분류하는 데 필요한 시간과 노력을 줄이는 데 도움이 됩니다. 생성된 공격 시퀀스 조사 결과는 상이한 신호의 상관관계를 자동으로 파악하고, 잠재적으로 손상된 리소스에 대한 높은 신뢰도의 인사이트를 제공하여 AWS 모범 사례를 기반으로 MITRE ATT&CK® 매핑 및 처방 수정 권장 사항도 제공합니다. GuardDuty는 이러한 향상된 기능을 통해 보안 팀이 가장 중요한 위협에 집중하고 활성 이벤트에 대한 대응을 간소화할 수 있도록 합니다.