亞馬遜云科技一直致力于贏得并維護客戶對我們的信賴。安全是我們的首要任務(wù)，我們一開始在服務(wù)設(shè)計階段就將安全考慮其中，并采取主動措施減少潛在安全威脅，讓客戶專注于自己的業(yè)務(wù)。為了提高安全能力，我們不斷地創(chuàng)新和投入。

為了防止安全事件對客戶業(yè)務(wù)產(chǎn)生影響，我們需要始終走在潛在威脅的前面，一旦意識到有活動可能對客戶產(chǎn)生不好影響，就能迅速行動來保護客戶。我們之前介紹過我們復(fù)雜的全球蜜罐系統(tǒng)MadPot和我們龐大的內(nèi)部神經(jīng)網(wǎng)絡(luò)圖模型Mithra。它們是我們兩個內(nèi)部威脅情報工具的例子，讓我們能采取主動的、實時的行動來防止?jié)撛谕{變?yōu)檎嬲绊懣蛻舭踩珕栴}。

我在今年的re:Inforce大會上介紹過我們的另一個內(nèi)部威脅情報工具——Sonaris。Sonaris是一種主動防御工具，可分析潛在有害的網(wǎng)絡(luò)流量，讓我們可以迅速并自動限制那些尋找漏洞并加以利用的威脅攻擊者。我們的安全團隊?wèi){借MadPot、Mithra和Sonaris，為亞馬遜云科技裝備了強大的、可操作的大規(guī)模威脅情報，而這種規(guī)模只有亞馬遜云科技才能實現(xiàn)。下面我將介紹我們?yōu)槭裁匆约叭绾问褂肧onaris來保護我們的客戶，以及如何量化衡量威脅情報產(chǎn)生的影響。

亞馬遜云科技以全球規(guī)模憑借安全創(chuàng)新幫助客戶應(yīng)對威脅挑戰(zhàn)，并取得可量化的成果

過去十年中，隨著越來越多的組織機構(gòu)遷移到云端，威脅攻擊者也在不斷升級策略尋找未經(jīng)適當(dāng)安全保護的環(huán)境。2017年，我們的安全團隊觀察到大量未經(jīng)授權(quán)的掃描嘗試(通過數(shù)字方式和工具進行系統(tǒng)檢掃描和探測亞馬遜云科技的客戶賬戶——威脅攻擊者通過這些活動，來尋找客戶在無意中配置為可公開訪問的 Amazon Simple Storage Service (Amazon S3)存儲桶。為了幫助客戶解決這種安全問題，亞馬遜云科技安全團隊開發(fā)了主動防御功能，檢測此類可疑的掃描行為，然后限制攻擊者可能采取的進一步訪問客戶S3存儲桶的不當(dāng)行為。

這種應(yīng)對云時代新的安全挑戰(zhàn)的方法到現(xiàn)在已經(jīng)演變成為我們的威脅情報工具Sonaris，如今它可以在幾分鐘內(nèi)在全球范圍內(nèi)識別并自動限制未經(jīng)授權(quán)的掃描和發(fā)現(xiàn)S3存儲桶的行為。Sonaris應(yīng)用安全規(guī)則和算法每分鐘可識別2,000億次事件中的異常情況。亞馬遜云科技阻止威脅攻擊者嘗試發(fā)現(xiàn)并利用錯誤配置或過期軟件的不當(dāng)行為，顯示了我們在安全能力的重大提升。

我們?nèi)绾魏饬縎onaris應(yīng)對網(wǎng)絡(luò)流量攻擊實際對客戶產(chǎn)生的影響?我們可以比較有無Sonaris保護的MadPot傳感器之間的威脅活動。為此，我們使用MadPot構(gòu)建兩個獨立的大規(guī)模蜜罐測試組，來比較每種安全配置的統(tǒng)計數(shù)據(jù)。一組受到基于Sonaris分析的邊界安全控制保護，另一個獨立的集群則沒有受到任何保護。這讓我們可以衡量亞馬遜云科技網(wǎng)絡(luò)邊界內(nèi)主機的防護覆蓋范圍。

這些分組測試的結(jié)果顯示Sonaris設(shè)法阻止了數(shù)量巨大的潛在威脅，也彰顯了其背后不斷增強的亞馬遜云科技基礎(chǔ)設(shè)施的安全性。例如，在MadPot分類的數(shù)百種不同類型的惡意交互中，在2024年9月，Sonaris顯示其中不當(dāng)嘗試減少了83%。在過去12個月中，Sonaris拒絕了超過270億次嘗試查找無意公開的S3存儲桶，并阻止了近2.7萬億次嘗試發(fā)現(xiàn)Amazon Elastic Compute Cloud (Amazon EC2)上的服務(wù)漏洞。這種保護極大地降低了亞馬遜云科技客戶的風(fēng)險。

Sonaris如何檢測并限制不當(dāng)掃描和攻擊

Sonaris在保護亞馬遜云科技和我們客戶方面發(fā)揮著至關(guān)重要的作用，它檢測并限制那些針對亞馬遜云科技基礎(chǔ)設(shè)施和服務(wù)的可疑行為。它的功能是基于亞馬遜云科技的網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)源以及我們的威脅情報數(shù)據(jù)而構(gòu)建的。Sonaris與眾不同之處在于，它將亞馬遜云科技網(wǎng)絡(luò)遙監(jiān)控亞馬遜威脅情報相結(jié)合，通過提供安全有效的威脅防御，減少無差別的掃描活動。

針對我們服務(wù)生成的大量匯總元數(shù)據(jù)和服務(wù)健康狀況監(jiān)控數(shù)據(jù)，Sonaris應(yīng)用啟發(fā)式、統(tǒng)計和機器學(xué)習(xí)算法。MadPot是Sonaris使用的一個威脅情報源，每天會接收來自數(shù)萬個IP地址的流量。MadPot模擬數(shù)百種不同的服務(wù)，并模仿客戶賬戶，然后將這些交互分類為已知的常見漏洞和風(fēng)險(Common Vulnerabilities and Exposures, CVEs)和其他漏洞。通過MadPot，Sonaris還可以整合其他高保真度信號，以更高精度識別威脅參與者的活動。從MadPot收集的第一方威脅情報提高了Sonaris自動限制已知惡意漏洞枚舉攻擊的可靠性和準(zhǔn)確性，從而實現(xiàn)了對客戶的自動保護。

當(dāng)Sonaris識別出惡意嘗試掃描亞馬遜云科技IP地址或客戶賬戶時，它會觸發(fā)Amazon Shield、 Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3和 Amazon WAF的自動保護，實時自動保護客戶資源免受未經(jīng)授權(quán)活動的影響。Sonaris對限制哪些活動非常的謹(jǐn)慎，只在有足夠高的把握認(rèn)為交互是惡意的情況下才會干預(yù)。例如，為了確保不會限制合法的客戶交互，我們開發(fā)了動態(tài)護欄模型來識別亞馬遜云科技服務(wù)中正常運行的行為，以便只檢測和應(yīng)對可疑活動。我們不斷更新和刷新這些護欄模型，加入我們最新的觀察，來避免對合法的客戶活動采取行動。

Sonaris針對動態(tài)威脅防御正產(chǎn)生廣泛的實際影響

在2023年和2024年期間，一個名為Dota3的大型活躍僵尸網(wǎng)絡(luò)一直在掃描互聯(lián)網(wǎng)，尋找易受攻擊的主機和設(shè)備來安裝加密貨幣挖礦的惡意軟件(通過秘密利用受害者的計算機或設(shè)備資源的惡意軟件)。Sonaris一直有效地保護客戶免受這個僵尸網(wǎng)絡(luò)的攻擊，即使僵尸網(wǎng)絡(luò)操作員試圖采用新方式規(guī)避防御。在2024年第三季度，我們觀察到這個僵尸網(wǎng)絡(luò)的掃描行為發(fā)生變化，開始使用不同的載荷、速率和端點。多虧了Sonaris分層檢測方法,讓這個僵尸網(wǎng)絡(luò)無法避免我們的自動檢測。Sonaris自動保護客戶免受每小時超過16,000個惡意掃描端點的攻擊。

亞馬遜云科技致力于讓互聯(lián)網(wǎng)變得更加安全

盡管Sonaris能夠降低風(fēng)險，但它無法完全消除風(fēng)險，為此我們的工作還遠未結(jié)束。我們將持續(xù)發(fā)展和加強安全措施，亞馬遜云科技將繼續(xù)致力于讓互聯(lián)網(wǎng)變得更加安全，讓客戶能夠在日益復(fù)雜的數(shù)字環(huán)境中快速發(fā)展的同時保持強大的安全態(tài)勢。通過創(chuàng)建像Sonaris這樣的主動安全工具，以及客戶積極采用安全最佳實踐，我們將共同創(chuàng)建一個更加安全的云環(huán)境。