Caratteristiche di Amazon GuardDuty

GuardDuty offre un servizio di rilevamento di minacce preciso e consente di individuare gli account compromessi, obiettivo solitamente molto difficile da raggiungere in modo rapido senza un monitoraggio estremamente accurato in tempo reale. GuardDuty può rilevare diversi indizi della compromissione di un account, ad esempio l'accesso a risorse AWS da posizioni geografiche o ad orari inconsueti. Per gli account AWS programmatici, GuardDuty verifica la presenza di chiamate API inusuali, ad esempio tentativi di nascondere le attività di un account disabilitando la registrazione di log di CloudTrail o la raccolta di snapshot di database da un indirizzo IP malevole.

GuardDuty monitora e analizza in modo continuo i dati di evento di carichi di lavoro e account AWS raccolti in CloudTrail, nei log di flusso di VPC e nei DNS. Non è prevista l'implementazione o la manutenzione di altri prodotti software o infrastrutture per le protezioni di base in GuardDuty. Associando diversi account AWS è anche possibile aggregare i risultati del rilevamento delle minacce senza dover controllare singolarmente i risultati di ciascun account. Inoltre, non è necessario raccogliere, analizzare e mettere in correlazione grandi volumi di dati da diversi account AWS. È così possibile concentrarsi su come rispondere a questi eventi in modo rapido, come mantenere la propria azienda protetta e continuare a dimensionare e innovare in AWS.

GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. AWS Security mantiene continuativamente questi algoritmi di rilevamento migliorandoli. Le categorie principali di rilevamento sono le seguenti:

• Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API inconsuete, tentativi sospetti di accesso al database, attività di scansione di porte in VPC, pattern inusuali di tentativi di accesso non riusciti o analisi di porte non bloccate da IP pericolosi noti.
• Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, attività di controllo e comando backdoor (C&C), attività di runtime per Amazon EC2, malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di Amazon EC2 utilizzate da un indirizzo IP esterno ed esfiltrazioni di dati tramite DNS.
• Compromissione di account: schemi che spesso indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici inconsueti o resi anonimi tramite proxy, tentativi di disattivazione della registrazione AWS CloudTrail, modifiche che possono indebolire la policy della password dell'account, avvio di istanze o infrastrutture inusuali, implementazioni di infrastruttura in una regione insolita, furto di credenziali, attività sospette di accesso al database e chiamate API da indirizzi IP pericolosi noti.
• Compromissione di bucket: attività che indica la compromissione di un bucket, come modelli di accesso ai dati sospetti che indicano un utilizzo errato delle credenziali, attività insolite di API Amazon S3 da un host remoto, accesso non autorizzato a S3 da indirizzi IP pericolosi noti e chiamate API per il recupero di dati in bucket S3 da parte di un utente che non rientra nella cronologia degli accessi al bucket o richiamata da una posizione insolita. Amazon GuardDuty monitora e analizza in modo continuo gli eventi sui dati S3 di AWS CloudTrail (per esempio GetObject, ListObjects, DeleteObject) per rilevare attività sospette tra tutti i bucket Amazon S3.
• Rilevamento malware: GuardDuty avvia la scansione dei malware non appena identifica un comportamento sospetto che indichi un software dannoso in un'istanza EC2 o nei carichi di lavoro dei container. GuardDuty genera repliche temporanee dei volumi Amazon EBS collegati all'istanza EC2 o ai carichi di lavoro dei container e scansiona le repliche dei volumi alla ricerca di trojan, worm, crypto miner, rootkit, bot e altro che possono essere utilizzati per compromettere i carichi di lavoro, riutilizzare le risorse per usi dannosi e accedere in maniera non autorizzata ai dati. La protezione da malware GuardDuty genera risultati contestualizzati in grado di confermare l'origine del comportamento sospetto. Questi risultati possono essere indirizzati agli amministratori competenti per avviare il processo di risoluzione.
• Compromissione dei container: attività che identificano possibili comportamenti dannosi o sospetti nei carichi di lavoro dei container sono rilevate tramite il monitoraggio e la profilazione continua dei cluster Amazon EKS tramite l'analisi dei log di controllo EKS e l’attività di runtime dei container in Amazon EKS o Amazon ECS.

Ecco un elenco completo dei tipi di esiti di GuardDuty.

GuardDuty è provvisto di tre livelli di gravità degli elementi rilevati, Basso, Medio e Alto, per aiutare a stabilire sempre la giusta priorità delle potenziali minacce. Il livello Basso indica attività sospette o dannose bloccate prima che potessero compromettere le risorse. Il livello Medio indica attività sospette. Ad esempio, può indicare un livello elevato di traffico restituito da un host remoto nascosto nella rete Tor o un'attività che devia dal comportamento consueto. Il livello Alto indica che una risorsa (ad esempio, un'istanza EC2 o un set di credenziali utente IAM) è compromessa e che è attivamente utilizzata per scopi non autorizzati.

GuardDuty offre API HTTPS e strumenti di interfaccia della linea di comando (CLI), oltre all'integrazione con Amazon EventBridge per supportare risposte di sicurezza automatiche agli esiti di sicurezza. Ad esempio, è possibile automatizzare un flusso di lavoro di risposta utilizzando EventBridge come origine di evento per richiamare una funzione Lambda.

GuardDuty è stato progettato per gestire automaticamente l'utilizzo delle risorse in base al livello generale di attività nei carichi di lavoro, negli account AWS e nei dati. Il servizio aumenta le proprie risorse solo se necessario, riducendole quando la capacità supplementare non è più richiesta. Sarà così possibile disporre di un'infrastruttura di protezione dai costi ottimizzati che mantiene sempre una capacità perfettamente in linea con le esigenze di elaborazione. Verranno addebitati esclusivamente i costi per la capacità di rilevamento utilizzata. GuardDuty offre sicurezza scalabile, indipendentemente dalle dimensioni dell'azienda.

Per abilitare GuardDuty in un account, è sufficiente un semplice clic nella Console di gestione AWS o una singola chiamata API. Con pochi altri comandi, la protezione GuardDuty può essere estesa su più account. GuardDuty supporta più account tramite l'integrazione con AWS Organizations e in modo nativo nell'ambito dello stesso servizio. Una volta attivato, GuardDuty inizia immediatamente ad analizzare i flussi di attività di rete e dell'account quasi in tempo reale e su vasta scala. Non è necessario implementare o gestire ulteriori software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e viene costantemente aggiornata.

GuardDuty fornisce una protezione completa per i carichi di lavoro dei container in tutto lo spazio di elaborazione AWS che altrimenti sarebbe difficile e complessa da raggiungere. Che tu stia eseguendo carichi di lavoro con controllo a livello di server su Amazon EC2, oppure carichi di lavoro di applicazioni moderne serverless su Amazon ECS con AWS Fargate, GuardDuty rileva attività potenzialmente dannose e sospette, ti offre un contesto a livello di container con monitoraggio del runtime e ti aiuta a identificare le lacune nella copertura di sicurezza nei carichi di lavoro dei container nel tuo ambiente AWS.