GuardDuty и Macie: как использовать инструменты безопасности машинного обучения AWS

По мере развития кибератак, к счастью, растет и безопасность. Теперь крайне важно использовать машинное обучение для улучшения защиты, более быстрого обнаружения и распознавания угроз, чем немедленного реагирования. Если вы используете Amazon Web Services, они предлагают два важных инструмента безопасности машинного обучения: Amazon GuardDuty и Amazon Macie. Вот как GuardDuty и Macie могут защитить ваши данные.

Amazon GuardDuty

Amazon GuardDuty — это интеллектуальное обнаружение угроз с непрерывным мониторингом, созданное для защиты учетных записей и рабочих нагрузок пользователей AWS. Любое злонамеренное или несанкционированное поведение, например необычные вызовы API или потенциально несанкционированное развертывание, будет обнаружено. Любое поведение, которое может указывать на компрометацию учетной записи, также помечается. Кроме того, любые потенциально скомпрометированные экземпляры или разведывательные данные злоумышленников, скорее всего, будут обнаружены.

GuardDuty легко включается из консоли управления AWS. Он использует интегрированные каналы аналитики угроз и машинное обучение для обнаружения любых аномалий в вашей учетной записи и действиях. После обнаружения угрозы консоль GuardDuty и AWS CloudWatch Events получают подробное оповещение системы безопасности, что делает оповещения действенными и простыми для интеграции в существующие системы рабочих процессов и управления событиями.

Amazon GuardDuty можно быстро включить для немедленного анализа миллиардов событий в вашей инфраструктуре AWS, при этом нет необходимости развертывать и поддерживать программное обеспечение или инфраструктуру безопасности. Это повышает его рентабельность и возможность быстрого включения без изменения существующих рабочих нагрузок.

Клиенты должны платить только за события, проанализированные GuardDuty, без предоплаты, и предоставляется 30-дневная бесплатная пробная версия, чтобы определить, подходит ли это средство безопасности для вашей инфраструктуры.

К наиболее важным функциям GuardDuty относятся:

• • Обнаружение угроз на уровне учетной записи — точное обнаружение компрометации учетной записи с непрерывным мониторингом практически в режиме реального времени.
  • Непрерывный мониторинг учетных записей AWS — отслеживайте и анализируйте все данные об учетных записях AWS и событиях рабочей нагрузки, содержащиеся в AWS CloudTrail, журналах потоков VPC и журналах DNS, без дополнительного программного обеспечения или инфраструктуры безопасности.
  • Обнаружение угроз разработано и оптимизировано для облака — встроенные методы обнаружения специально разработаны и оптимизированы для облака. GuardDuty также интегрировала аналитику угроз с ведущими в отрасли сторонними партнерами по безопасности, такими как Proofpoint и CrowdStrike.
  • Уровни серьезности угроз для эффективной расстановки приоритетов — низкие, средние и высокие уровни серьезности угроз, чтобы клиенты могли реагировать соответствующим образом.

• Автоматизируйте реагирование на угрозы и их устранение. С помощью GuardDuty вы можете использовать API-интерфейсы HTTPS, инструменты командной строки и события AWS CloudWatch для поддержки автоматических реакций безопасности на определенные результаты.
• Высокодоступное обнаружение угроз. Автоматическое управление использованием ресурсов в зависимости от общего уровня активности в учетных записях AWS и рабочих нагрузок. GuardDuty добавляет возможности обнаружения, когда это необходимо, и уменьшает использование, когда оно больше не нужно.
• Развертывание одним щелчком мыши без дополнительного программного обеспечения или инфраструктуры для развертывания и управления — упростите развертывание и управление с помощью быстрого и простого включения.

Амазонка Мэтт

Amazon Macie — это «служба безопасности, которая использует машинное обучение для автоматического обнаружения, классификации и защиты конфиденциальных данных в AWS». Эти конфиденциальные данные включают личную информацию (PII) или интеллектуальную собственность. Приборная панель Macie и оповещения позволяют пользователям сразу увидеть, как осуществляется доступ к этим данным или как они перемещаются.

Этот полностью управляемый сервис постоянно отслеживает действия по доступу к данным на наличие аномалий. При обнаружении риска несанкционированного доступа или непреднамеренной утечки данных он генерирует подробные предупреждения. Amazon Macie в настоящее время доступен для защиты данных, хранящихся в Amazon S3, а поддержка дополнительных хранилищ данных AWS появится позже в этом году.

Преимущества Amazon Macie включают в себя:

• Превосходная видимость ваших данных — администраторы безопасности имеют четкое представление о средах хранения данных.
• Простота настройки и управления — пользователям достаточно войти в консоль AWS, выбрать сервис Amazon Macie и выбрать учетные записи AWS, которые они хотели бы защитить.
• Автоматизация защиты данных с помощью машинного обучения. Обнаружение, классификация и защита данных, хранящихся в AWS, — это автоматизированный процесс для Amazon Macie с помощью машинного обучения. Это поможет вам быстрее и лучше понять, где хранится конфиденциальная информация и как к ней осуществляется доступ, включая аутентификацию пользователей и шаблоны доступа.
• Настраиваемый мониторинг оповещений с помощью CloudWatch. Если хотите, Amazon Macie может отправлять все результаты в Amazon CloudWatch Events для создания настраиваемых исправлений и управления оповещениями для ваших систем тикетов безопасности.

Amazon Macie работает, сначала создавая базовый уровень, а затем активно отслеживая любые аномалии и отклонения от этого базового уровня, которые могут указывать на риск и/или подозрительное поведение, «такие как загрузка больших объемов исходного кода, незащищенное хранение учетных данных, или конфиденциальные данные, которые настроены так, чтобы быть доступными извне».

Эта служба не только дает подробные оповещения, но и дает рекомендации по устранению проблем. Он также позволяет пользователям определять и настраивать автоматические действия по исправлению, такие как сброс списков контроля доступа или активация политик сброса пароля.

Одной из ключевых особенностей Amazon Macie является то, как он использует классификацию ваших объектов Amazon S3 на основе машинного обучения, чтобы обеспечить прозрачность вашей среды S3. Он может распознавать данные, представляющие большую ценность для бизнеса, включая форматы журналов, форматы резервных копий баз данных и учетные данные. Он также анализирует аналитику поведения пользователей, помогая выявлять опасные или подозрительные действия с вызовами сервисного API AWS и доступом к ценному контенту. Обнаружено внезапное увеличение активности API с высоким риском, а также аномальная активность API в нескольких местах или в нечастые часы.

Используя его, клиенты также могут автоматизировать рабочие процессы и категории предупреждений. Вы можете интегрироваться со службами управления информацией и событиями безопасности (SIEM) и решениями Managed Security Service Provider (MSSP), чтобы помочь обеспечить безопасность и соответствие требованиям. Чтобы получать ранние предупреждения, а затем сортировать их и расставлять по приоритетам, Macie поддерживает 20 различных категорий предупреждений. К ним относятся события данных с высоким уровнем риска, ключи API и учетные данные, хранящиеся в исходном коде, и многое другое.

Инструменты AWS GuardDuty и Macie

Хотя безопасность — это бесконечная битва, эти инструменты помогают сделать ее немного более управляемой. Используя GuardDuty и Macie, вы можете защитить свои данные.