Возможности Amazon GuardDuty

GuardDuty точно обнаруживает угрозы компрометации аккаунта. Быстро выявить такие угрозы довольно сложно, если не ведется непрерывный мониторинг показателей в режиме, близком к реальному времени. Amazon GuardDuty способен обнаруживать такие признаки компрометации аккаунта, как доступ к ресурсам AWS из необычного местоположения в нетипичное время суток. Для программных аккаунтов AWS сервис Amazon GuardDuty проверяет необычные вызовы API, например попытки скрыть активность аккаунта путем отключения функций ведения журналов CloudTrail или попытки сделать снимки состояния базы данных с вредоносного IP-адреса.

GuardDuty непрерывно отслеживает и анализирует данные событий аккаунта AWS и рабочих нагрузок клиента, содержащиеся в CloudTrail, журналах VPC Flow Logs и журналах DNS. Для защиты в GuardDuty не требуется дополнительно развертывать и обслуживать программное обеспечение или инфраструктуру. Объединив аккаунты AWS, можно выполнять обнаружение угроз для всех этих аккаунтов, а не для каждого в отдельности. Кроме того, теперь не требуется собирать, анализировать и сопоставлять большие объемы данных AWS из нескольких аккаунтов. Сосредоточьтесь на скорости реагирования и обеспечении безопасности организации, продолжая расширять и внедрять инновации в облаке AWS.

GuardDuty помогает получить доступ к встроенным методам обнаружения вторжения, разработанным и оптимизированным для облака. AWS Security постоянно поддерживает и улучшает эти алгоритмы обнаружения. Сервис обнаруживает вторжения указанных ниже основных категорий:

• Исследование системы. Активность, предполагающая исследование системы злоумышленником, например необычная активность API, подозрительные попытки входа в базу данных, сканирование портов внутри VPC, необычные схемы неудачных запросов на вход в систему или поиск незаблокированных портов с известного подозрительного IP-адреса.
• Несанкционированный доступ к инстансу. Активность, указывающая на несанкционированный доступ к инстансу, например майнинг криптовалюты, действия по управлению бэкдорами (C&C), время выполнения Amazon EC2, вредоносное ПО, использующее алгоритмы генерации доменов (DGA), активность, свидетельствующая об отказе в обслуживании исходящего трафика, необычно большой объем сетевого трафика, необычные сетевые протоколы, исходящее подключение инстанса к известным вредоносным IP-адресам, использование временных данных для доступа в Amazon EC2 внешним IP-адресом и эксфильтрация данных с использованием DNS.
• Несанкционированный доступ к аккаунту. Перечень распространенных схем, указывающих на несанкционированный доступ к аккаунту, включает вызовы интерфейса API из необычного географического расположения или с анонимного прокси-сервера, попытки отключить ведение журналов AWS CloudTrail, изменения, смягчающие политику паролей аккаунтов, запуск необычных инстансов или инфраструктур, развертывание инфраструктуры в нетипичном регионе, кража учетных данных, подозрительная активность при входе в базу данных и вызовы интерфейса API с известных вредоносных IP-адресов.
• Несанкционированный доступ к корзине. Действия, указывающие на несанкционированный доступ к корзине, например подозрительные схемы доступа к данным, указывающие на неправомерное использование данных для доступа, необычные действия в интерфейсе API Amazon S3 из удаленного узла, несанкционированный доступ к сервису S3 с известных вредоносных IP-адресов и вызовы интерфейса API для получения данных в корзинах S3 от пользователя, у которого нет предшествующей истории доступа к корзине, или совершенные из необычного расположения. Сервис Amazon GuardDuty непрерывно отслеживает и анализирует события, связанные с данными AWS CloudTrail S3 (например, GetObject, ListObjects, DeleteObject), чтобы обнаруживать подозрительные действия во всех ваших корзинах Amazon S3.
• Выявление вредоносного ПО. GuardDuty начинает проверку на наличие вредоносного ПО при обнаружении подозрительного поведения, указывающего на наличие вредоносного ПО в рабочих нагрузках инстансов EC2 или контейнеров. GuardDuty создает временные копии томов Amazon EBS, подключенных к таким рабочим нагрузкам инстансов EC2 или контейнеров, и сканирует копии томов на наличие троянов, червей, майнеров криптовалют, руткитов, ботов и т.д., которые могут быть использованы для компрометации рабочих нагрузок, перенаправления ресурсов для злонамеренного использования и получения несанкционированного доступа к данным. Защита от вредоносных программ GuardDuty генерирует контекстуализированные выводы, которые могут подтвердить источник подозрительного поведения. Эти данные можно направить соответствующим администраторам, и они могут инициировать автоматическое исправление ситуации.
• Несанкционированный доступ к контейнерам. Деятельность, выявляющую возможное злонамеренное или подозрительное поведение в рабочих нагрузках контейнеров, можно обнаружить, если непрерывно осуществлять мониторинг и профилирование кластеров Amazon EKS путем анализа журналов аудита EKS и активности во время выполнения контейнера в Amazon EKS или Amazon ECS.

Здесь представлен полный список способов обнаружения угроз сервисом GuardDuty.

GuardDuty использует три уровня серьезности (низкий, средний и высокий), чтобы помочь клиентам определить приоритеты при реагировании на потенциальные угрозы. Низкий уровень серьезности указывает на подозрительную или вредоносную активность, которая была заблокирована до того, как нанесла ущерб ресурсу. Средний уровень серьезности указывает на подозрительную активность. Например, это может быть большой объем трафика, возвращаемый на удаленный узел, который скрывается за сетью Tor, или активность, отличная от ранее наблюдавшихся схем. Высокий уровень серьезности указывает, что рассматриваемый ресурс (например, инстанс EC2 или набор данных для доступа пользователя IAM) скомпрометирован и активно используется в несанкционированных целях.

GuardDuty позволяет использовать интерфейсы API HTTPS, инструменты интерфейса командной строки (CLI), а также интегрируется с сервисом Amazon EventBridge для поддержки автоматического реагирования системы безопасности на обнаруженные угрозы. Например, можно автоматизировать рабочий процесс реагирования, используя сервис EventBridge в качестве источника события, запускающего функцию Lambda.

GuardDuty рассчитан на автоматическое управление использованием ресурсов на основе общих уровней активности в аккаунтах AWS, рабочих нагрузках клиента и данных. Сервис Amazon GuardDuty выделяет дополнительные ресурсы для системы обнаружения вторжения только в случае необходимости и прекращает их использование, когда эти ресурсы больше не требуются. Сервис обладает экономичной архитектурой, которая гарантирует наличие вычислительной мощности, необходимой для обеспечения безопасности, при минимальных затратах. Вы платите только за ресурсы, используемые для обнаружения вторжения, и только тогда, когда они используются. Amazon GuardDuty обеспечивает безопасность в любом масштабе.

Подключить GuardDuty для одного аккаунта можно одним щелчком мышью в Консоли управления AWS или с помощью одного вызова API. Чтобы включить сервис Amazon GuardDuty для нескольких аккаунтов, потребуется несколько щелчков мышью в консоли. В сервисе GuardDuty предусмотрена поддержка нескольких аккаунтов с помощью интеграции с сервисом Организации AWS. Встроенная поддержка также обеспечивается в сервисе GuardDuty. Сразу после включения GuardDuty начинает анализировать непрерывные потоки данных, отражающих действия аккаунта и сетевую активность, в режиме, близком к реальному времени, и в нужном масштабе. Для развертывания и управления не требуется дополнительного программного обеспечения для безопасности, датчиков или сетевых устройств. Актуальная информация об известных угрозах заранее включена в сервис и постоянно обновляется.

GuardDuty обеспечивает комплексную защиту контейнерных рабочих нагрузок в вашем вычислительном пространстве AWS, которую трудно реализовать другими методами. Независимо от того, запускаете ли вы рабочие нагрузки с контролем на уровне сервера в Amazon EC2 или рабочие нагрузки современных бессерверных приложений в Amazon ECS с AWS Fargate, GuardDuty обнаруживает потенциально вредоносные и подозрительные действия, предоставляет контекст на уровне контейнера с мониторингом времени выполнения и помогает выявить пробелы в защите контейнерных рабочих нагрузок в среде AWS.