结合威胁情报侦测能力AWS提供确保用户帐号安全新服务

使用云端服务最令企业难以放心的部份，莫过于使用帐号与应用系统工作负载的保护，而公有云服务龙头厂商AWS最近提出强化安全性的办法，他们在2017年底举行的全球用户大会上，宣布推出一套名为GuardDuty的云端服务，结合了威胁情报的侦测机制，提供持续监控用户帐号活动的功能，协助用户更快发现帐号遭人冒用的状况，以及用于恶意活动或未经许可的存取行为。

AWS用户启用这项云端服务的方式相当简单，仅需在网页主控台介面AWS Management Console，经过几个简单的点选步骤，即可马上开始启用，而GuardDuty分析资料的範围，包括：用户拥有的多个AWS帐号活动与API呼叫（CloudTrail的事件记录），以及网路连线历程（Amazon VPC的Flow Logs），以此建立帐户活动的正常基準。

图中是GuardDuty管理介面当中的通用设定页面，管理者在此能够检视GuardDuty的服务角色名称，以及监控资料的存取权限内容，若要暂停执行或停用GuardDuty的侦测，也可从这里操作。

在通用设定页面，我们按下产生範例发现结果（Generate sample findings）的按钮之后，接着切换到发现结果的页面，就可以看到中间会列出这些系统分析的可疑事件，右侧从上倒下分别显示了每个事件的威胁资讯、受到影响的EC2执行个体ID（Resource Affected）、威胁使用的动作（Action）、威胁发动者（Actor）。

之后，GuardDuty持续运用机器学习的技术，辨识所收集到的事件资料，判断用户帐号是否出现正常模式以外的状况，例如，突然部署了不常用到的执行个体类型，且放置在从未用过的区域执行，或是执行不常用到的API呼叫、将密码政策调整为降低密码强度，以及透过停用CloudTrail的记录功能，试图模糊使用者的活动状态等。

一旦发现异常情形，GuardDuty会产生警报，当中将描绘每一次使用AWS服务的状况，而相对地，AWS本身也会持续更新使用的威胁情报来源。

而在系统的建置上，用户毋须为此额外部署硬体设备、软体系统，以及订阅网路威胁情报服务，所要支付的费用，主要是根据分析的事件资料量多寡来计算。

在异常活动的侦测上，GuardDuty能够发现的事件类型有三种：攻击事前侦查（Reconnaissance）、执行个体遭到入侵（Instance compromise）、AWS帐号遭到入侵（Account compromise），而图中标示为黑色字的事件侦测，是透过特徵、无状态式的分析，标示为蓝色字的事件侦测，是运用行为、完整状态式的分析。

就保护的主要对象而言，GuardDuty的目标是用户的AWS帐号，当我们在自己的帐号启用这项云端服务之后，还可以邀请其他AWS帐号加入，当对方的帐号同意之后，异常活动侦测的範围即可涵盖到那边的分析结果。

在此同时，GuardDuty也会将所掌握的活动资料，与AWS研发的威胁情报来源、第三方资安公司，以及顾问服务业者提供的威胁资料，例如恶意IP位址、网域名称，进行交叉关连。摄影：李宗翰

同时，这套云端服务也运用机器学习的技术，针对用户的AWS帐号来辨识各种潜在的非法与恶意活动，像是存取权限的提升、使用遭到先前遭到外洩的身分帐号，以及与恶意IP位址、URL网址与网域通讯的行为。

这么一来，用户能透过GuardDuty强化EC2执行个体的安全性，避免遭到恶意软体滥用，或被作为加密数位货币的採矿作业。同时，GuardDuty也能够持续监督AWS帐号的存取行为，及早掌握受到入侵的种种徵兆，例如，有人私自执行未经许可的IT基础架构部署作业，或是调降身分与存取的安全政策强度。

一旦侦测出异常状况，GuardDuty会立即发出详细的资安警示，通知AWS帐户拥有者，并且建议应採取的防护行动，若要将系统提供的这些资料，整合到既有的事件管理及工作流程系统，也相当简便。

用户可以在CloudWatch里面建立规则，送出GuardDuty分析的事件发现结果，并附挂AWS Lambda的功能作为这些资料传输的目的地，以此执行自动矫正的作业。摄影：李宗翰

GuardDuty除了对内分析AWS帐号的使用是否有异状，还可以将发现结果传送到AWS CloudWatch Events云端服务，并且能透过AWS SDK支援API endpoint。而在这样的机制之下，GuardDuty就能与第三方厂商提供的解决方案互通，例如，趋势科技、Splunk、Palo Alto Networks、Rapid7等资安厂商，已经提供相关的整合方式，也因此，GuardDuty提供的威胁情报，就能更容易搭配在既有的资安处理流程当中，以便进行深度分析与自动化防御。

趋势科技是与AWS Amazon GuardDuty整合的厂商之一，图中是他们的Deep Security搭配AWS Amazon GuardDuty的架构，透过简单的AWS Lambda的功能，解析了GuardDuty的发现之后，用户可以调度指挥Deep Security平台，执行多样的威胁自动反应机制。

Palo Alto与Amazon GuardDuty的整合，也是经由AWS Lambda的功能来进行，当中会将GuardDuty收集到的威胁资讯，像是恶意IP位址，传送到他们的VM系列的次世代防火墙。这当中运用了XML的API来建立动态位址群组，并且内含阻断IP连线活动的安全政策，一旦GuardDuty更新了恶意IP位址，这个动态位址群组与安全政策，也将自动随之更新，为AWS用户在云端服务环境上的网路存取，提供更为主动的防护能力。

在此同时，GuardDuty已经与市面上的威胁情报服务平台，进行相互合作，而使得AWS用户能够运用更多元的威胁资料来源，像是：CrowdStrike、Proofpoint，而且，AWS Security团队也会协助辨识威胁，提供保护，避免受到已知的恶意攻击侵犯。

目前已有十多家资安厂商、顾问公司，宣布与AWS GuardDuty合作。

GuardDuty提供了使用弹性，允许用户自行新增信任的IP位址清单，以及恶意网址清单，以适应不同环境的需求。

GuardDuty目前开放30天免费试用，启用这项服务之后，AWS用户可透过网页管理介面，随时检视用量。

产品资讯

AWS Amazon GuardDuty
●原厂：AWS
●建议售价：亚太区（东京）VPC Flow Log和DNS记录分析资料每GB为1.18美元，AWS CloudTrail事件分析资料每月每百万笔为4.72美元
●分析资料来源：AWS CloudTrail事件记录、VPC Flow Logs、DNS查询记录
●侦测可疑活动类型：攻击者探查、执行个体滥用、帐号遭到冒用
●使用的网路威胁情报来源：AWS Security与第三方合作伙伴

【注：规格与价格由厂商提供，因时有异动，正确资讯请洽厂商】