## 视频
<video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video>
## 导读
通过讲述亚马逊云科技在使用 [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail)、Amazon Shield 和 Amazon WAF 等亚马逊云科技安全服务保护亚马逊云科技客户和帐户过程中的所见所闻,探索威胁前景。本论坛揭示了数据驱动的关键趋势见解,并提供具体的真实案例,为预测风险提供了独特的视角。了解亚马逊云科技正在创建的威胁情报功能,以及如何将其用于保护亚马逊云科技基础设施、设计安全功能并帮助确保您在亚马逊云科技上的应用程序的安全性和可用性。
## 演讲精华
<font color = "grey">以下是小编为您整理的本次演讲的精华,共1200字,阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文,请观看演讲完整视频或者下面的演讲原文。</font>
瑞安·荷兰德(Ryan Holland)来自亚马逊GuardDuty团队,保罗(Paul)来自亚马逊云科技Shield威胁研究小组,他们共同提供了关于不断变化的威胁环境的有价值见解,这些见解基于在亚马逊全球网络基础设施和客户环境中观察到的广泛数据和趋势。
瑞安表示,他们的主要任务是在亚马逊云科技中保护其免受攻击者的侵害。他们通过先进的系统实现这一目标,这些系统可以分析亚马逊云科技大规模网络中的入站流量模式,以识别异常。例如,瑞安指出,亚马逊云科技每年能检测和减轻将近一百万次的DDoS事件。这使他们能够提取威胁指标,并利用这些情报为客户实施保护。
他强调,阻止恶意流量与更广泛地破坏攻击者的基础设施以防止再次被瞄准之间存在一个重要区别。瑞安分享说,尽管在过去5年里,总体DDoS攻击数量稳定在每年近100万次,但攻击的性质已经演变。2022年,亚马逊云科技首次观察到应用层攻击超过网络层攻击,成为所有检测到的DDoS事件中的56%。
瑞安将这种转变归因于攻击者在创新方面的进步,他们转移到上层栈来利用Web应用程序中的漏洞,而不是像过去那样用网络洪水轰炸服务器。他指出,开源进攻工具的普及推动了向更复杂基于应用的攻击的转变。
亚马逊云科技观察到的一个最显著的趋势是,广泛应用互联网代理来掩盖DDoS流量的真正发起源。通过将攻击路由通过第三方代理,攻击者能够隐藏自己的基础设施,并使用无辜提供商的资源来扩大攻击规模。
亚马逊云科技为了解决这一问题,实施了一种独特的基于其全球庞大网络的IP信誉黑名单策略。通过追踪并关闭代理和僵尸网络,亚马逊云科技在自动阻止已知的不良行为者方面取得了显著成果。据瑞安表示,亚马逊云科技已经将该名单用于保护其管理控制台、CloudFront分发以及每年接待数十亿访问量的Amazon.com零售业务。
在2021年亚马逊Prime Day活动期间,这种简单的IP阻止措施在两天内缓解了12起DDoS攻击中的92%。亚马逊云科技通过将其IP信誉威胁情报集成到WAF、GuardDuty和Shield服务中,向客户提供了这一威胁情报。在应用层DDoS攻击中,瑞安指出,亚马逊云科技已经识别出大约30,000个反复针对亚马逊云科技的个体来源。他鼓励观众利用这些托管规则集以提供基本防护常见威胁。
转向内部视角,瑞安介绍了来自亚马逊云科技盾牌团队的保罗。保罗领导着威胁研究小组,该小组分析亚马逊云科技周界内的入站威胁以提取可操作的情报。
保罗概述了亚马逊云科技复杂的全球蜜罐系统,称为MMO。这个由超过10,000个传感器组成的网络遍布亚马逊云科技的基础设施,旨在吸引并研究对手的活动。每天,MMO记录超过1亿次的潜在威胁互动,将其中半百万次归类为明确恶意。
通过密切监控这些蜜罐,亚马逊云科技可以深入了解攻击者的战术、恶意软件、漏洞和使用的基础设施。保罗强调了一个令人担忧的数据点——平均而言,蜜罐上线后仅3分钟就看到了第一次探测活动。这表明互联网背景噪音和自动化扫描器搜索弱点的普遍存在。
MMO不仅是一个蜜罐;关键是与亚马逊云科技的网络和反向工程能力的集成。通过在受控环境中引爆恶意软件,亚马逊云科技可以提取签名和指标,以更新客户的检测能力。保罗强调了MMO最近如何帮助识别针对美国关键基础设施的美国国家团体。通过与联邦机构分享信息,亚马逊云科技可以帮助扩大对其自身网络以外的破坏努力的支持。
亚马逊云科技在打击网络犯罪方面发挥着重要作用。其强大的功能之一便是识别指挥与控制服务器,从而阻止受感染主机与攻击者之间的联系。据保罗描述,曾有攻击者在Telegram上抱怨亚马逊云科技在追踪和破坏僵尸网络、代理和欺诈流量方面的有效性。这表明亚马逊云科技提高了攻击者的门槛和成本。
在亚马逊云科技的支持下,GuardDuty通过对数百万客户运行的超过5亿个EC2实例的实时监控,揭示了被入侵客户账户内的潜在威胁。数据显示,加密货币开采已成为最常见的恶意活动,约占所有被入侵工作负载的60%。GuardDuty通过分析相关端口、协议、IP和域名,能够可靠地检测此类活动。当检测到挖矿活动时,会向客户发送警报,包括常见的异常出站连接、到已知加密货币域名的DNS查询以及进程行为。
除了加密货币开采,GuardDuty还发现了另一种常见的威胁——被入侵实例作为更广泛的入侵跳板。大约50%的被入侵工作负载中,攻击者利用漏洞的访问权限来进行扫描和横向移动。GuardDuty通过生成关于异常端口探测和访问尝试的报告,帮助客户及时发现并遏制被入侵的主机。
此外,GuardDuty还能识别分布式拒绝服务(DDoS)攻击,这是一种占亚马逊云科技客户环境20%的威胁。通过分析流量模式,如高流量包、异常的IP连接比例和TCP重置,GuardDuty能有效地识别DDoS机器人活动。亚马逊云科技还通过空路定位与僵尸网络关联的已知命令和控制服务器来加强这一点。
然而,攻击者也在寻求规避检测的方法。随着防御者在DNS周围的监控和控制方面取得进展,攻击者已调整策略。瑞安指出,攻击者越来越多地使用公共DNS解析器来避免对恶意域名的日志记录和审查。
GuardDuty已经研发出了先进的行为分析技术,用于描绘账户典型的DNS行为并识别异常,如外部解析器的覆盖。同时,攻击者也在使用加密的DNS协议。亚马逊云科技能够通过从蜜罐和被攻击客户环境中收集数据,独特地洞察到不断演变的敌方策略、技术和流程。
最后,Ryan和Paul分享了亚马逊云科技如何利用其独特的全球网络流量、蜜罐和客户环境的可视性优势。通过提前发现新兴策略并向客户和合作伙伴提供情报,亚马逊云科技致力于通过持续的打击使云计算生态系统变得更加难以被攻击者利用。
**下面是一些演讲现场的精彩瞬间:**
演讲者详细阐述了代理如何掩盖请求的原始来源,使得任何人都能够匿名地使用它们。
![](https://d1trpeugzwbig5.cloudfront.net/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends/images/rebranded/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends_0.png)
领导者通过剖析易受攻击的基础设施,向我们揭示了僵尸网络的运作原理。
![](https://d1trpeugzwbig5.cloudfront.net/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends/images/rebranded/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends_1.png)
他们讨论了亚马逊云科技如何运用IP声誉列表来保护其管理控制台和CloudFront等服务,抵御大量恶意请求的冲击。
![](https://d1trpeugzwbig5.cloudfront.net/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends/images/rebranded/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends_2.png)
此外,领导者还探讨了亚马逊云科技如何在客户实例中检测加密货币的开采活动,并向客户发送关于系统已被入侵的警报。
![](https://d1trpeugzwbig5.cloudfront.net/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends/images/rebranded/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends_3.png)
亚马逊云科技会阻止受感染的实例与攻击者通信的null路由命令和控制服务器。
![](https://d1trpeugzwbig5.cloudfront.net/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends/images/rebranded/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends_4.png)
然而,领导者也提醒我们,攻击者可能会尝试通过在操作系统级别覆盖基础设施配置,从而逃避检测。
![](https://d1trpeugzwbig5.cloudfront.net/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends/images/rebranded/SEC236-The_AWS_data_driven_perspective_on_threat_landscape_trends_5.png)
## 总结
此次演讲深入探讨了亚马逊云科技在威胁检测方面的先进技术。亚马逊云科技通过使用蜜罐和其他传感器,收集全球网络威胁的情报,以确保其基础设施和客户的安全。研究发现,新上线的蜜罐服务器通常在几分钟内就会受到攻击,这展示了网络安全威胁的无情性。
亚马逊云科技分享了应对DDoS攻击的策略。他们维护着一个已知恶意IP地址列表,并对这些地址实施速率限制,这种方法能阻止超过90%的攻击。此外,亚马逊云科技还会对用于发起攻击的基础设施采取关闭措施,从而增加攻击者的成本。
从内部视角来看,GuardDuty负责监控被入侵的系统。在超过一半的案例中,它发现了加密货币挖矿活动。此外,被入侵的系统还被用来搜索其他攻击目标。为了实现更全面的威胁感知,GuardDuty正在新增功能,例如检测容器内的进程级威胁。其目标是提供一个完整的攻击链视图。
## 演讲原文
## 想了解更多精彩完整内容吗?立即访问re:Invent 官网中文网站!
[2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站")
[点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处"),一键获取亚马逊云科技全球最新产品/服务资讯!
[点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处"),一键获取亚马逊云科技中国区最新产品/服务资讯!
## 即刻注册亚马逊云科技账户,开启云端之旅!
[【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“")
[【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")