Publicado en: Mar 12, 2021
Amazon GuardDuty ha incorporado nuevas técnicas de machine learning que han resultado muy eficaces para distinguir potenciales actividades maliciosas de usuarios del comportamiento operativo anómalo, pero no malicioso en las cuentas de AWS. Esta nueva capacidad modela de forma continua las invocaciones a la API dentro de una cuenta e incorpora predicciones de probabilidad a fin de separar y alertar de forma más precisa el comportamiento altamente sospechoso del usuario. Este nuevo enfoque ha podido identificar la actividad maliciosa asociada a tácticas de ataque conocidas, incluidos el descubrimiento, el acceso inicial, la persistencia, el aumento de privilegios, la evasión de defensas, el acceso a credenciales, el impacto y la filtración de datos. Las nuevas detecciones de amenazas están disponibles para todos los clientes de Amazon GuardDuty sin necesidad de realizar alguna acción y sin costos adicionales.
Esta última mejora el nivel de las detecciones de amenazas y anomalías que se basan en AWS CloudTrail de GuardDuty a fin de mejorar la precisión, ampliar la cobertura del servicio de AWS y brindar datos contextuales que ayuden a responder a las alertas. Esta mejora disminuye un 50 % el volumen de alertas de comportamientos sospechosos de los usuarios, en comparación con la detección solo de anomalías, y también triplica la cobertura del servicio de AWS que brinda GuardDuty. Los datos contextuales que se crean en estas nuevas detecciones de amenazas se pueden ver en la consola de GuardDuty y en el archivo JSON de búsqueda que se obtiene a través de Amazon EventBridge. Con estos datos contextuales, puede responder rápidamente a preguntas como ¿qué servicios de AWS pueden verse afectados y qué tácticas de ataque están asociadas a este comportamiento sospechoso? ¿Qué era lo anómalo de la actividad? Y ¿cuál es el comportamiento esperado de un usuario individual y de todos los demás usuarios que operan en la misma cuenta de AWS? Esta capacidad ahora está disponible en todas las regiones que admiten Amazon GuardDuty, a excepción de las regiones AWS GovCloud y China, las cuales se sumarán más adelante. Las ocho nuevas detecciones de amenazas que se agregaron son:
- Discovery:IAMUser/AnomalousBehavior
- InitialAccess:IAMUser/AnomalousBehavior
- Persistence:IAMUser/AnomalousBehavior
- PrivilegeEscalation:IAMUser/AnomalousBehavior
- DefenseEvasion:IAMUser/AnomalousBehavior
- CredentialAccess:IAMUser/AnomalousBehavior
- Impact:IAMUser/Anomalous
- BehaviorExfiltration:IAMUser/AnomalousBehavior
Amazon GuardDuty, que se encuentra disponible a nivel mundial, controla de manera continua el comportamiento malicioso o no autorizado para proteger sus recursos de AWS, incluidas sus claves de acceso, cuentas de AWS e instancias EC2. Puede habilitar su prueba gratuita de 30 días de Amazon GuardDuty con un solo clic en la consola de administración de AWS. Para más información, consulte Hallazgos de Amazon GuardDutyy para recibir actualizaciones programáticas sobre nuevas características y detecciones de amenazas de Amazon GuardDuty, suscríbase al tema SNS de Amazon GuardDuty.