|
Hoy, me complace presentarles capacidades avanzadas de detección de amenazas de IA/ML en Amazon GuardDuty. Esta nueva característica utiliza la amplia visibilidad y escala de la nube de AWS para proporcionar una detección de amenazas mejorada para sus aplicaciones, cargas de trabajo y datos. GuardDuty Extended ThreatDetection emplea IA/ML sofisticada para identificar secuencias de ataques conocidas y previamente desconocidas, ofreciendo un enfoque más integral y proactivo para la seguridad en la nube. Esta mejora aborda la creciente complejidad de los entornos de nube modernos y el panorama cambiante de las amenazas a la seguridad, simplificando la detección y respuesta a las amenazas.
Muchas organizaciones enfrentan desafíos a la hora de analizar y responder de manera eficiente al gran volumen de eventos de seguridad generados en sus entornos de nube. Con la creciente frecuencia y sofisticación de las amenazas a la seguridad, se ha vuelto más difícil detectar y responder eficazmente a los ataques que ocurren como secuencias de eventos a lo largo del tiempo. Los equipos de seguridad a menudo tienen dificultades para reconstruir actividades relacionadas que podrían ser parte de un ataque más grande, potencialmente pasando por alto amenazas críticas o respondiendo demasiado tarde para evitar un impacto significativo.
Para abordar estos desafíos, hemos ampliado las capacidades de detección de amenazas de GuardDuty para incluir nuevas capacidades de IA/ML que correlacionan señales de seguridad para identificar secuencias de ataques activos en su entorno de AWS. Estas secuencias pueden incluir múltiples pasos realizados por un adversario, como descubrimiento de privilegios, manipulación de API, actividades de persistencia y filtración de datos. Estas detecciones se representan como hallazgos de secuencia de ataque, un nuevo tipo de hallazgo de GuardDuty con gravedad crítica. Anteriormente, GuardDuty nunca había utilizado la severidad crítica, reservando este nivel para hallazgos con la máxima confianza y urgencia. Estos nuevos hallazgos introducen una gravedad crítica e incluyen un resumen en lenguaje natural de la naturaleza y la importancia de la amenaza, actividades observadas asignadas a tácticas y técnicas del marco MITRE ATT&CK® y recomendaciones de corrección prescriptivas basadas en las mejores prácticas de AWS.
GuardDuty Extended ThreatDetection introduce nuevos hallazgos de secuencias de ataques y mejora la capacidad de acción para las detecciones existentes en áreas como exfiltración de credenciales, escalada de privilegios y exfiltración de datos. Esta mejora permite a GuardDuty ofrecer detecciones compuestas que abarcan múltiples fuentes de datos, períodos de tiempo y recursos dentro de una cuenta, lo que le brinda una comprensión más completa de los ataques sofisticados a la nube.
Déjame mostrarte cómo funcionan las nuevas capacidades.
Cómo utilizar la nueva detección de amenazas AI/ML en Amazon GuardDuty
Para experimentar la nueva detección de amenazas de IA/ML en GuardDuty, vaya a la consola de Amazon GuardDuty y explore los nuevos widgets en la Resumen página. El widget de descripción general ahora le ayuda a ver la cantidad de secuencias de ataque que tiene y a considerar los detalles de esas secuencias de ataque. Los hallazgos en el entorno de la nube a menudo revelan ataques en varias etapas, pero estas sofisticadas secuencias de ataques son de bajo volumen y representan una pequeña fracción del número total de hallazgos. Para esta cuenta en particular, puede observar una variedad de hallazgos en el entorno de la nube, pero solo un puñado de secuencias de ataque reales. En un entorno de nube más grande, es posible que vea cientos o incluso miles de hallazgos, pero el número de secuencias de ataque probablemente seguirá siendo relativamente pequeño en comparación.
También agregamos un nuevo widget que lo ayuda a ver los hallazgos desglosados por gravedad. Esto hace que sea más fácil pivotar e investigar rápidamente hallazgos específicos que sean de su interés. Los resultados ahora están ordenados por Gravedadbrindándole una descripción clara de los problemas más críticos, incluida una información adicional Crítico categoría de gravedad, lo que garantiza que las detecciones más urgentes le lleguen inmediatamente a su atención. También puedes filtrar solo por las secuencias de ataque eligiendo Solo secuencias de ataque principales.
Esta nueva capacidad está habilitada de forma predeterminada, por lo que no es necesario realizar ningún paso adicional para que comience a funcionar. No hay costos adicionales para esta característica más allá de los cargos subyacentes de GuardDuty y sus planes de protección asociados. A medida que habilita planes de protección GuardDuty adicionales, esta capacidad proporcionará un valor de seguridad más integrado, lo que le ayudará a obtener conocimientos más profundos.
Se pueden observar dos tipos de hallazgos. El primero es el compromiso de los datos, lo que indica un posible compromiso de los datos que puede ser parte de un ataque de ransomware más grande. Los datos son el activo organizacional más crítico para la mayoría de los clientes, lo que los convierte en un área importante de preocupación. El segundo hallazgo es el tipo de credencial comprometida, que le ayuda a detectar el uso indebido de credenciales comprometidas, normalmente durante las primeras etapas de un ataque en su entorno de nube.
Permítanme profundizar en uno de los hallazgos de los datos comprometidos. Me centraré en «Posible compromiso de datos de uno o más depósitos de S3 que involucran una secuencia de acciones sobre múltiples señales asociadas con un usuario en su cuenta». Este hallazgo indica que hemos observado datos comprometidos en múltiples depósitos de Amazon Simple Storage Service (Amazon S3) con múltiples señales asociadas.
El resumen proporcionado con este hallazgo brinda detalles clave, incluido el usuario específico (identificado por su ID principal) que realizó las acciones, la cuenta y los recursos afectados, y el período de tiempo extendido (casi un día completo) durante el cual ocurrió la actividad. Esta información puede ayudarle a comprender rápidamente el alcance y la gravedad del posible compromiso.
Este hallazgo tiene ocho señales distintas observadas durante un período de casi 24 horas, lo que indica el uso de múltiples tácticas y técnicas asignadas al marco MITRE ATT&CK®. Esta amplia cobertura a lo largo de la cadena de ataque (desde el acceso a las credenciales hasta el descubrimiento, la evasión, la persistencia e incluso el impacto y la exfiltración) sugiere que este puede ser un incidente verdaderamente positivo. El hallazgo también revela una preocupante técnica de destrucción de datos, que es particularmente alarmante.
Además, GuardDuty proporciona un contexto de seguridad adicional al resaltar llamadas API confidenciales, como la eliminación del usuario del rastro de AWS CloudTrail. Este tipo de comportamiento evasivo, combinado con la creación de nuevas claves de acceso y acciones dirigidas a objetos de Amazon S3, refuerza aún más la gravedad y el alcance potencial del incidente. Según la información presentada en este hallazgo, probablemente desee investigar este incidente más a fondo.
Revisando el Tácticas de ATT&CK asociado con los hallazgos proporciona visibilidad de las tácticas específicas involucradas, ya sea una táctica única o múltiples. GuardDuty también ofrece indicadores de seguridad que explican por qué la actividad se marcó como sospechosa y se le asignó una gravedad crítica, incluidas las API de alto riesgo llamadas y las tácticas observadas.
Al profundizar más, puede ver detalles sobre el actor responsable. La información incluye cómo el usuario se conectó y llevó a cabo estas acciones, incluidas las ubicaciones de la red. Este contexto adicional le ayuda a comprender mejor el alcance y la naturaleza completos del incidente, lo cual es crucial para la investigación y la respuesta. Puede seguir recomendaciones de corrección prescriptivas basadas en las mejores prácticas de AWS, lo que le ofrece información útil para abordar y resolver rápidamente las detecciones identificadas. Estas recomendaciones personalizadas lo ayudan a mejorar su postura de seguridad en la nube y garantizar la alineación con las pautas de seguridad.
El Señales La pestaña se puede ordenar primero por la más nueva o la más antigua. Si responde a un ataque activo, querrá comenzar con las señales más recientes para comprender y mitigar rápidamente la situación. Para una revisión posterior al incidente, puede rastrear desde las actividades iniciales. Profundizar en cada actividad proporciona información detallada sobre el hallazgo específico. También ofrecemos una vista rápida a través Indicadores, actoresy Puntos finales para resumir lo que ocurrió y quién tomó medidas.
Otra forma de seguir los detalles es acceder a la Recursos pestaña, donde puede consultar los diferentes depósitos que están involucrados y las claves de acceso. Para cada recurso, puedes comprobar qué tácticas y técnicas sucedieron. Seleccione el recurso abierto para pasar directamente a la consola correspondiente y obtener más detalles.
Hemos introducido una vista de página completa para los hallazgos de GuardDuty, lo que facilita ver todos los datos contextuales en un solo lugar. Sin embargo, la página de hallazgos tradicional con el panel lateral todavía está disponible si prefiere ese diseño, que proporciona una vista rápida de los detalles de hallazgos específicos.
La detección de amenazas extendida de GuardDuty se habilita automáticamente para todas las cuentas de GuardDuty en una región, aprovechando fuentes de datos fundamentales sin requerir planes de protección adicionales. Habilitar planes de protección adicionales amplía la gama de señales de seguridad analizadas, mejorando la capacidad del servicio para identificar secuencias de ataques complejas. GuardDuty recomienda específicamente activar S3 Protection para detectar posibles compromisos de datos en los depósitos de Amazon S3. Sin la protección S3 habilitada, GuardDuty no puede generar hallazgos específicos de S3 ni identificar secuencias de ataques que involucren recursos de S3, lo que limita su capacidad para detectar escenarios de compromiso de datos en su entorno de Amazon S3.
GuardDuty Extended ThreatDetection se integra con los flujos de trabajo de GuardDuty existentes, incluidos AWS Security Hub, Amazon EventBridge y sistemas de gestión de eventos de seguridad de terceros.
Ahora disponible
Amazon GuardDuty Extended ThreatDetection mejora significativamente la seguridad en la nube al automatizar el análisis de secuencias de ataques complejas y brindar información procesable, lo que lo ayuda a concentrarse en abordar las amenazas más críticas de manera eficiente, reduciendo el tiempo y el esfuerzo necesarios para el análisis manual.
Estas capacidades se habilitan automáticamente para todos los clientes nuevos y existentes de GuardDuty sin costo adicional en todas las regiones comerciales de AWS donde se admite GuardDuty.
Para obtener más información y comenzar a beneficiarse de estas nuevas capacidades, visite la documentación de Amazon GuardDuty.
GIPHY App Key not set. Please check settings