借助内部开发的工具 Sonaris,AWS 可持续监控其系统,以防范对客户数据的攻击。
AWS 正在利用其公共云基础设施作为全球范围的威胁检测工具,以保护客户免受每年数万亿次恶意访问其资源的尝试。
这家云计算巨头在上周举行的以安全为主题的 AWS re:Inforce 大会上透露了该探测器的存在。AWS使用该工具已有数年,在2023年5月至2024年4月期间,它阻止了超过240亿次试图扫描亚马逊简单存储服务(Amazon S3)中存储的客户数据的尝试,以及近2.6万亿次试图发现亚马逊弹性计算云(EC2)中客户虚拟服务器上运行的易受攻击服务的尝试。
亚马逊将这个探测器称为 "Sonaris",这个名字显然是借用了以IT为主题的电视连续剧《Halt and Catch Fire》中的同名计算机网络探索工具。
"Sonaris是AWS开发的一项内部能力,旨在检测和消除某些未经授权和可能滥用AWS资源的企图,"该公司首席信息安全官Chris Betz说。"AWS 的基础架构就像一个传感器,提供了一个广泛而深入的潜在威胁视图。这种能力使 AWS 能够对恶意企图做出迅速有效的反应,从而保护其客户并增强互联网的整体安全性。"
虽然Sonaris在防御整个AWS基础设施的关键业务资源方面所宣称的能力规模令人震惊,但很难看出它与CWPP、NDR和EDR等传统威胁检测和响应(TDR)解决方案有什么不同,尤其是因为它的工作方式。
Betz 说,Sonaris 的主要功能是处理服务日志,以便检测威胁,并发布针对警报和响应的上下文化缓解建议。这是大多数威胁扫描仪的常规工作方式。那么,Sonaris 为何如此成功呢?
ESG Global 的高级分析师大卫-万斯(David Vance)给出了解释,这与 AWS 在系统中内置的蜜罐网络 MadPot 有关。
"他说:"由于 Sonaris 利用了从 AWS 的威胁传感器框架(称为 MadPot)中收集的大量威胁情报,我相信它可以成为防御未来多种不同类型 AWS 攻击的有效前线工具。
考虑到 AWS 从其庞大的基础设施中获取的第一手威胁情报,以及这些情报如何与一些外部遥测数据相结合,成为 Sonaris 嗅探未经授权的访问尝试的能力因素,这就很有意义了。
"一旦检测到未经授权的流量,Sonaris 就会连接到亚马逊 GuardDuty、AWS WAF 和 AWS Shield 等 AWS 服务,从而自动、先发制人地阻止对 AWS 上托管的客户资源和数据的恶意访问,"Vance 补充道,进一步说明了 AWS 的全面能力。"如果客户账户被未经授权的用户使用泄露的 IAM 访问密钥访问,它还可以检测到并发出警报"。
尽管 Sonaris 具有强大的商业潜力,但有趣的是,它还没有被包装成面向公众的产品。
贝茨说,AWS没有计划将Sonaris变成商业产品。
"贝茨说:"这是一种独特的能力,它利用 AWS 的大规模基础设施来识别攻击和攻击者,并无缝地输入到我们的产品中。"我们不出售 Sonaris,而是用它来保护我们的客户。"
ESG的Vance在谈到AWS不愿以订阅方式提供该功能时说:"我相信AWS可以对Sonaris收费,但我怀疑Sonaris是作为一种包容性的安全功能而不是额外的收费产品推出的,因为AWS认为这种级别的安全应该是他们客户的'桌面赌注'。此外,通过免费提供Sonaris,AWS在价格上也比竞争对手更具优势。"
虽然谷歌云和微软Azure等竞争云巨头都有相应的商业产品,分别是谷歌云铠甲和Azure DDoS保护,但AWS的Sonaris是严格的内部产品,至少目前仅用于AWS托管工作负载的整体保护。
"Betz在谈到Sonaris的发布时机时补充说:"我们认为现在讨论这一功能非常重要,尤其是在威胁环境不断演变、复杂性不断增加的情况下,这样才能帮助我们的客户更好地了解我们为防范恶意威胁而采取的措施。"此外,行业合作与交流对于为所有利益相关者创建更强大的安全原则以及最大限度地减少攻击者的匿名性至关重要。
如果 AWS 分享的数据属实,那么该工具必将在加强 AWS 安全基础设施方面发挥关键作用。虽然AWS拒绝透露Sonaris投入使用的确切时间,但值得注意的是,这家云计算领导者仍面临着大规模的攻击,包括在Sonaris据称全面投入使用的时间段内发生的一些攻击。
"贝茨补充说:"Sonaris使用各种传感器和威胁情报来发现AWS资源的枚举,其模式与正常活动不同。"我们正在不断尝试新的模式,以进一步保护 AWS 客户。"
上一条: HPE和Nvidia推出人工智能私有云
