亚马逊AWS官方博客
在 AWS 上做好入侵检测
在AWS上做好入侵检测
入侵检测是整个安全防御体系建设中不可缺少的一个重要环节,对于云计算用户来说,无论具体运行的服务是什么,都应该通过入侵检测来实时监控系统的运行状态。常见的入侵检测既要满足通用的安全需求,例如发现端口扫描,木马,后门,恶意探测,权限篡改等,也要满足企业自身的特殊安全需求,即与已建立的安全基线相违背的行为。除此之外,云上的入侵检测也有自己的独特要求,包括海量布署,快速迭代,安全可视和可控,可扩展性以及经济实用性。
在上述需求越来越普遍的情况下,AWS GuardDuty应运而生,可以为用户提供完整的解决方案。Amazon GuardDuty 是一项持续的安全监控服务,通过分析VPC流日志、AWSCloudTrail管理事件日志、CloudTrailS3数据事件日志和DNS日志来检测入侵信息。VPC流日志可用来收集有关IP流量进出网络端口的信息,AWS CloudTrail对AWS基础架构中与操作相关的帐户活动执行日志记录和监控,DNS日志用来记录AWS DNS服务器接收的DNS查询。AWS GuardDuty使用威胁情报源(例如CrownStrike, 另外用户也可以上传自定义的情报源 )和机器学习来探测AWS 环境中意外的和未经授权的恶意活动。这包括了特权升级、使用遭暴露的凭证或者与恶意 IP 地址、URL 或域通信等问题。例如,GuardDuty 可检测提供恶意软件或进行比特币挖矿的受损 EC2 实例。此外,它还监控 AWS 账户访问行为是否有受损迹象,如未经授权的基础设施部署(例如,在从未使用过的区域中部署的实例)或异常的 API 调用(例如,更改密码策略以减小密码强度)。
Amazon GuardDuty会按资源类型列出的结果,这些资源类型包括EC2, S3和IAM。下表按名称、威胁目的、资源和严重性列出了所有查找类型。
查结果类型 |
威胁目的 |
RESOURCE |
严重性 |
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
中 |
|
行为 |
EC2 |
中 |
|
行为 |
EC2 |
中 |
|
CryptoCurrency |
EC2 |
高 |
|
CryptoCurrency |
EC2 |
高 |
|
发现 |
S3 |
中 |
|
发现 |
S3 |
中 |
|
发现 |
S3 |
中 |
|
Impact |
EC2 |
高 |
|
Impact |
EC2 |
高 |
|
Impact |
S3 |
中 |
|
Impact |
S3 |
中 |
|
PenTest |
IAM |
中 |
|
PenTest |
IAM |
中 |
|
PenTest |
IAM |
中 |
|
PenTest |
S3 |
中 |
|
PenTest |
S3 |
中 |
|
PenTest |
S3 |
中 |
|
持久性 |
IAM |
中* |
|
持久性 |
IAM |
中* |
|
持久性 |
IAM |
中* |
|
Policy |
IAM |
Low |
|
Policy |
S3 |
Low |
|
Policy |
S3 |
Low |
|
Policy |
S3 |
高 |
|
PrivilegeEscalation |
IAM |
低* |
|
Recon |
EC2 |
高 |
|
Recon |
EC2 |
低* |
|
Recon |
EC2 |
中 |
|
Recon |
IAM |
中 |
|
Recon |
IAM |
中 |
|
Recon |
IAM |
中* |
|
Recon |
IAM |
中* |
|
Recon |
IAM |
中 |
|
Recon |
IAM |
中* |
|
ResourceConsumption |
IAM |
中* |
|
Stealth |
IAM |
Low |
|
Stealth |
IAM |
中* |
|
Stealth |
IAM |
Low |
|
Stealth |
S3 |
Low |
|
木马 |
EC2 |
中 |
|
木马 |
EC2 |
中 |
|
木马 |
EC2 |
高 |
|
木马 |
EC2 |
高 |
|
木马 |
EC2 |
高 |
|
木马 |
EC2 |
中 |
|
木马 |
EC2 |
中 |
|
木马 |
EC2 |
高 |
|
木马 |
EC2 |
高 |
|
UnauthorizedAccess |
EC2 |
中 |
|
UnauthorizedAccess |
EC2 |
高 |
|
UnauthorizedAccess |
EC2 |
低* |
|
UnauthorizedAccess |
EC2 |
低* |
|
UnauthorizedAccess |
EC2 |
高 |
|
UnauthorizedAccess |
EC2 |
高 |
|
UnauthorizedAccess |
IAM |
中* |
|
UnauthorizedAccess |
IAM |
中 |
|
UnauthorizedAccess |
IAM |
高 |
|
UnauthorizedAccess |
IAM |
中 |
|
UnauthorizedAccess |
IAM |
中 |
|
UnauthorizedAccess |
IAM |
中 |
|
UnauthorizedAccess |
S3 |
中 |
|
UnauthorizedAccess |
S3 |
中 |
|
查结果类型 |
威胁目的 |
RESOURCE |
严重性 |
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
高 |
|
后门 |
EC2 |
中 |
|
行为 |
EC2 |
中 |
|
行为 |
EC2 |
中 |
|
CryptoCurrency |
EC2 |
高 |
|
CryptoCurrency |
EC2 |
高 |
|
发现 |
S3 |
中 |
|
发现 |
S3 |
中 |
|
发现 |
S3 |
中 |
|
Impact |
EC2 |
高 |
|
Impact |
EC2 |
高 |
|
Impact |
S3 |
中 |
|
Impact |
S3 |
中 |
|
PenTest |
IAM |
中 |
|
PenTest |
IAM |
中 |
|
PenTest |
IAM |
中 |
|
PenTest |
S3 |
中 |
|
PenTest |
S3 |
中 |
|
PenTest |
S3 |
中 |
|
持久性 |
IAM |
中* |
|
持久性 |
IAM |
中* |
|
持久性 |
IAM |
中* |
|
Policy |
IAM |
Low |
|
Policy |
S3 |
Low |
|
Policy |
S3 |
Low |
|
Policy |
S3 |
高 |
|
PrivilegeEscalation |
IAM |
低* |
|
Recon |
EC2 |
高 |
|
Recon |
EC2 |
低* |
|
Recon |
EC2 |
中 |
|
Recon |
IAM |
中 |
|
Recon |
IAM |
中 |
|
Recon |
IAM |
中* |
|
Recon |
IAM |
中* |
|
Recon |
IAM |
中 |
|
Recon |
IAM |
中* |
|
ResourceConsumption |
IAM |
中* |
|
Stealth |
IAM |
Low |
|
Stealth |
IAM |
中* |
|
Stealth |
IAM |
Low |
|
Stealth |
S3 |
Low |
|
木马 |
EC2 |
中 |
|
木马 |
EC2 |
中 |
|
木马 |
EC2 |
高 |
|
木马 |
EC2 |
高 |
|
木马 |
EC2 |
高 |
|
木马 |
EC2 |
中 |
|
木马 |
EC2 |
中 |
|
木马 |
EC2 |
高 |
|
木马 |
EC2 |
高 |
|
UnauthorizedAccess |
EC2 |
中 |
|
UnauthorizedAccess |
EC2 |
高 |
|
UnauthorizedAccess |
EC2 |
低* |
|
UnauthorizedAccess |
EC2 |
低* |
|
UnauthorizedAccess |
EC2 |
高 |
|
UnauthorizedAccess |
EC2 |
高 |
|
UnauthorizedAccess |
IAM |
中* |
|
UnauthorizedAccess |
IAM |
中 |
|
UnauthorizedAccess |
IAM |
高 |
|
UnauthorizedAccess |
IAM |
中 |
|
UnauthorizedAccess |
IAM |
中 |
|
UnauthorizedAccess |
IAM |
中 |
|
UnauthorizedAccess |
S3 |
中 |
|
UnauthorizedAccess |
S3 |
中 |
AWS GuardDuty 为所生成的各种调查结果类型使用以下格式来告知用户: ThreatPurpose:ResourceTypeAfected/ThreatFamilyName.ThreatFamilyVariant!Artifact。例如, DNS(DNS) 的搜索类型 CryptoCurrency:EC2/BitcoinTool.B!DNS 表示EC2实例正在与已知的比特币相关域通信。
值得着重关注的是AWS GuardDuty新推出了对S3的保护功能。仅需在Console界面一键点开,就可以实现对所有账号的所有S3桶的持续监控,包括访问事件,权限设置,可以检测到恶意及可疑的活动例如来自于不常见的访问地址,对数据保护措施(S3的禁止公开访问)的禁用,对非授权数据的异常访问。
针对检测出来的事件,AWS GuardDuty会产生不同等级的告警,同时也AWS也会向用户推荐相关的纠正措施,例如修复受损的EC2实例,纠正受损的S3存储段,修复受损的ASM凭据。
下图展示了AWS GuardDuty与不同的合作伙伴之间的结合,包括危胁情报的输入,自定义上传,也可根据检测到的事件的不同,可结合到用户的SIEM方案中,也可结合类似SLACK这样的工具实现即时的通知和告警。