万博ManBetX下载地址从而纰漏专注于剩余需要进一法式查的事件-万博体育 (中国)官网登录注册入口
使用自动化达成快速检测和降噪
毛病字: [Amazon Web Services re:Invent 2024, 亚马逊云科技, Rapid Detection, Noise Reduction, Automation, Security Alerts, Known Good Behavior]
导读
安全产物会生成大批发现,闲居会酬金授权用户的正常行径。在本次会议中,亚马逊云科技托管办事(AMS)安全团队的成员将向您先容他们奈何诈骗自动化期间快速分类来自Amazon GuardDuty、Lacework和亚马逊云科技 DNS Firewall的安全发现,从而减少需要东谈主工审查的警报数目。
演讲精华
以下是小编为您整理的本次演讲的精华。
亚马逊云科技托管办事的安全团队濒临着一个广泛的挑战:他们的小团队每周都会被数以千计的安全警报灭亡,其中很多都是误报。手动对这些警报进行分类是一个极其耗时的过程,每个警报需要4-5个小时,何况短少精确性。这个问题并非亚马逊云科技特有,各行业的大小安全团队都濒临着访佛的问题。一些价值数十亿好意思元的公司的云安全团队只好2-3名工程师,使他们无法有用地筛选数千个要挟检测。此外,这些小团队无法24/7运作,导致警报在触发后12、24致使36个小时才被处理,到当时安全事件可能也曾形成要紧亏空。对于勒诈软件袭击或其他安全事件,36小时的反馈延长实在太长。
与传统的里面环境比较,云环境带来了特殊的挑战。资源和会过自动化箝制创建和放胆,导致在视察时产生的安全警报针对的资源也曾不存在。客户认为他们大批时候被奢华在反馈那些对业务莫得价值的安全警报上。
手动对安全警报进行分类是一项东谈主类并不太擅长的任务,因为它需要在短时候内处理大批数据。举例,针对笔据外泄的警报可能是由已知的真实荟萃代理触发的,从而使警报变得卑不足谈。然则,东谈主工分析师可能需要2-3个小时才调细目警报的原因和荆棘文。
在亚马逊云科技托管办事运营的范围下,经管着数以千计的亚马逊云科技账户和群众数百个客户,这个挑战愈加疼痛。尽管有一个团队24小时不阻隔职责,但他们每周仍会收到数千个安全警报,每个警报需要4-5个小时处理。这导致团队成员感到衰颓,被警报的数目和手动分类过程的短少精确性所灭亡。有一次,当检测到一台Windows办事器被入侵时,有CPU峰值、内存不及、终局安全代理警报和GuardDuty警报等四个警报,这四个警报都被分拨给四个不同的反馈东谈主员处理灭亡事件,突显了手动分类过程短少精确性。
团队研究了几种潜在处罚决策,包括雇佣地球上通盘的安全工程师(被认为太崇高且无法处罚短少精确性的问题)、条目现存团队每周7天、24小时职责(包括节沐日,但被东谈主力资源部门和团队成员自己断绝,后者要挟要离职)、将通盘客户的日记荟萃到一个中央账户(激发了数据躲闪、主权和传输日记资本的担忧)。依赖“神奇独角兽”的概念也被盘问过,但被视为不切施行。
最终,团队决定自动化是最好方法,因为它不错让他们通过编码步地和自动化重迭性任务,在范围上诈骗东谈主类专科学问。这一决定基于团队对自动化纰漏更好地诈骗东谈主力资源和工程师的证实,使他们纰漏更高效、更有用地职责。
为了实施这一处罚决策,团队构建了一个名为亚马逊云科技安全事件反馈的系统。该系统从各式开始(包括GuardDuty、Macie等亚马逊云科技办事以登第三方器具)获取发现成果,并将其引入Amazon Security Hub。Security Hub充任荟萃平台,用于团聚和去重发现成果,并提供职责经过经管功能。
然则,即使有了Security Hub,团队仍然濒临着每天处理数千个发现成果的挑战。为了处罚这个问题,他们构建了亚马逊云科技安全事件反馈系统,自动处理这些发现成果的分类和视察。该系统充任诬捏安全分析师,走访各式数据源,如CloudTrail日记、NetFlow日记、应用关节日记,以及来自亚马逊和第三方的要挟谍报。
自动化系统扩充初步分类和视察,根据客户环境荆棘文细目行径是否为“已知良性行径”。这个过程王人备无需东谈主工滋扰,系统会自动拉取数据并跟着时候积贮学问。
天然自动化处理了初步分类和视察,但对于需要更深切分析或无法被明确归类为已知良性行径的升级事件,东谈主工反馈东谈主员仍然至关要紧。反馈东谈主员将从这些视察中赢得的劝诫反馈给系统,形成一个闭环,使自动化纰漏箝制改变和发展。
团队濒临的一个挑战是处罚东谈主工反馈东谈主员对经受这种自动化系统的担忧和畏怯。一些反馈东谈主员对偏离行业圭臬作念法握严慎格调,牵记若是专注于识别已知良性行径而错过施行的坏心行径。
为了克服这些担忧,团队诉诸数据分析。通过查验他们当今纰漏手动视察的发现成果,他们意志到他们只可处理10-12%的总发现成果。而自动化系统则不错躲闪近100%的发现成果,裁汰错过某些情况的可能性,莳植他们的举座躲闪率。
此外,团队强调自动化不会取代东谈主工反馈东谈主员,而是让他们纰漏专注于更意旨道理意旨道理、更具政策性的职责,从而处罚了职责安全的担忧。事实上,团队增多了安全工程师的数目,因为工程师的范围学问和专科学问对于构建新的步地匹配算法和像要挟参与者那样想考至关要紧,这是任何剧本都无法复制的。
透明度是团队处罚的另一个担忧。他们确保客户纰漏看到自动化系统采用的操作,诈骗Security Hub和GuardDuty将发现成果处理神情写回的功能。
实施自动化系统为亚马逊云科技托管办事团队带来了权贵的公正。他们将杂音与真实信号的比率裁汰了数百倍,从而纰漏专注于剩余需要进一法式查的事件。这种杂音减少也减少了对其他团队(如应用关节团队)的升级次数,他们之前闲居在奇怪的时候被惊扰来视察误报。
自动化开释了数千个小时之前用于手动分类的时候,使团队纰漏将重心飘摇到更主动的安全加固职责上。通过与客户调和改善其环境的安全态势,团队不错减少当先产生的发现成果数目,形成握续改变的良性轮回。举例,他们匡助客户在通盘实例上将实例元数据办事版块1替换为版块2,确保正确的S3存储桶确立,并为根用户账户启用多身分身份考证。
自动化系统的一个毛病上风是纰漏从每一个安全事件中学习,并箝制莳植其检测智商。当客户遭遇入侵时,团队将袭击的杀伤链方针(如视察行径、实例笔据外泄、特别IAM行径和数据外泄)编码到自动化系统中,从而纰漏更早地检测到其他客户的访佛行径。这种学习过程成绩于亚马逊云科技运营的范围,因为苦衷的步地不错被识别并在总共客户群中分享。
团队分享了几个真实案例,发挥了他们自动化方法的威力:
端口扫描和视察行径:传统上,安全团队会反馈每一个视察行径,即使其中很多都是来自正当开始(如渗入测试办事或荟萃代理)的预期行径。通过分析日记数据并识别已知良性步地(如由于应用关节想象,实例通过特定端口通讯),自动化系统不错过滤掉授权的视察行径,从而大大减少杂音。加密货币挖矿:当一家金融机构客户入驻时,系统当先将加密货币挖矿行径符号为潜在坏心行径。然则,经过视察发现,该客户有一个接洽部门正在正当接洽区块链和加密货币荟萃,以接洽高效散布式账本达成。团队将这一学问构建到系统中,使其纰漏识别其他从事散布式账本期间职责的客户的访佛步地。荟萃爬虫用于搜索引擎优化:一个从事荟萃爬虫以优化搜索引擎的客户由于其行径性质(波及走访等闲的网站,包括潜在的坏心网站)而触发警报。这产生了大批DNS流量和走访坏心网站的发现成果。通过了解客户的用例,团队纰漏加固他们的环境,确保爬虫对潜在要挟具有弹性,并将预期行径列入白名单,从而减少反馈东谈主员的杂音。客户环境受损:一位客户遭遇了要紧入侵,要挟行径者进行了视察、窃取了实例笔据、在多个区域进行了特别 IAM 行径,最终在数天后被发现之前窃取了数据。尽管客户启用了 GuardDuty 和 Security Hub,但分析师未能实时审查发现成果。亚马逊云科技 团队将此袭击的杀伤链方针编码到自动化系统中,当要挟行径者一年后尝试交流的策略时,为灭亡客户达成了早期检测和反馈,并主动保护了其他客户。
这些场景突显了自动化系统诈骗 亚马逊云科技 客户群体的范围来识别和分享跨环境的苦衷步地,从而学习和稳健特殊的客户环境和用例的智商。
自动化使反馈东谈主员纰漏将专科学问应用于更高判断力的行径,而不是重迭的日记分析,从而莳植了职责安闲度,并为主动安全名堂的革命铺平了谈路。正如 Winstanley 所说:“咱们为他们开启了一个全新的寰宇,让他们纰漏成长、扩张、学习生手段,并参与咱们所濒临的通盘期间挑战,包括咱们可能但愿实施的主动职责。”
Morales 晓喻推出 亚马逊云科技 安全事件反馈办事,该办事通过限度台向客户提供。该办事是根据 亚马逊云科技 托管办事客户的反馈而开采的,他们但愿纰漏走访安全功能,而无需齐备的托管办事运营智商。
亚马逊云科技 安全事件反馈办事包括三个主邀功能:
自动监控和视察警报:该办事监控来自 GuardDuty 和通过 Security Hub 赈济的第三方器具的警报,细目行径是已知的淡雅行径如故需要升级,并自动视察和丰富升级的警报。安全事件经管限度台:客户不错荟萃经管安全事件,界说走访权限,追踪通讯,安全地分享日记和文献,并监控安全事件的程度。全天候走访 亚马逊云科技 安全众人:客户不错走访专诚的安全众人,他们将主动监控客户环境,经受和视察升级的警报,并不错被召唤来视察任何安全问题,对于案例的反馈时候为 15 分钟。
客户不错选拔诈骗 亚马逊云科技 安全事件反馈办事或与我方的团队总共构建访佛的自动化智商。
总之,亚马逊云科技 托管办事团队告捷处罚了快速检测和降噪的挑战,方法是诈骗自动化。他们的革命方法权贵莳植了信噪比、检测速率、反馈东谈主员的坐褥力和握续学习智商。通过将他们的专科学问编码并诈骗 亚马逊云科技 客户群体的范围,他们创造了一个自动化的良性轮回,使团队纰漏专注于更高价值的政策安全计议,同期为客户提供更好的保护。
底下是一些演讲现场的精彩顿然:
Manuel Morales,期间产物的主要产物司理,以及Steven Bowie,高等安全弘扬东谈主,在reInvent2024行径上先容了我方。
他们揭示了安全发现的真实躲闪范围,以及新系统奈何达成了近100%的躲闪率,从而减少了遗漏毛病事件的畏怯。
亚马逊云科技也曾权贵裁汰了杂音与真实信号的比率,使他们纰漏专注于信得过的要挟并减少涉过火他团队的升级。
亚马逊云科技诈骗其在客户环境中的大范围和数据,来识别祥和会坏心视察行径,提供了唯一无二的安全智商,无与伦比。
一个有劲的述说强调了加密货币挖矿袭击在云中的普遍性,以及安全措施对于移交此类要挟的要紧性。
亚马逊云科手段够答允不同客户的需求,从构建基于分类账的应用关节到优化搜索引擎的可见性,通过荟萃爬虫展示了其多功能性和稳健性。
演讲者幽默地邀请不雅众干预一个对于新办事的演讲,地点在一个极度规的地点——曼德勒湾浴室。
追忆
在这个令东谈主沉迷的叙述中,亚马逊云科技安全众人Philip Winstanley、Manuel Morales和Steven Bowie分享了他们诈骗自动化处罚快速检测和降噪的挑战的历程。他们敷陈了他们的团队和客户奈何手动审查数千个安全警报,导致奢华时候和延长反馈。在探索了各式不切施行的处罚决策后,他们经受了自动化来大范围诈骗他们的范围学问和专科学问。
该团队开采了亚马逊云科技 Security Incident Response,这是一项自动化审查和视察来自多个开始的安全发现的办事。它充任诬捏安全分析师,走访要挟谍报、日记和其他数据源,识别已知的淡雅行径并升级潜在要挟。这种方法权贵裁汰了杂音,莳植了精度,并使分析师纰漏从事更多政策职责。
他们强调了真实寰宇的例子,展示了系统奈何从每总共事件中学习,构建新的自动化来在杀伤链的早期检测要挟。众人们还盘问了在这一过渡期间濒临的东谈主力挑战,如不服变革、错失时会的畏怯、职责安全问题和透明度。通过培养革命和握续学习的文化,他们的团队接受了自动化,从而莳植了躲闪范围、主动经管安全态势,并形成了一个良性轮回的改变。
终末,他们晓喻推出亚马逊云科技 Security Incident Response当作一项面向通盘客户的办事,提供自动化监控、荟萃事件经管和24/7安全众人赈济。该叙述强调了自动化在增强安全运营方面的变革力量,使团队纰漏专注于更高价值的任务,并通过分享学问和范围激动握续改变。
亚马逊云科技(Amazon Web Services)是群众云缱绻的创始者和引颈者。提供200多类等闲而深切的云办事万博ManBetX下载地址,办事群众245个国度和地区的数百万客户。作念为群众生成式AI前行者,亚马逊云科技正在联袂等闲的客户和调和伙伴,确立可见的买卖价值 – 网罗群众40余款大模子,亚马逊云科技为10万家群众企业提供AI及机器学习办事,看护3/4中国企业出海。