Caratteristiche di Amazon GuardDuty

Panoramica

Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati nell'ambiente AWS. GuardDuty combina il machine learning (ML), individuazione delle anomalie e rilevamento di file dannosi, utilizzando strumenti all'avanguardia sia di AWS, sia di terze parti, per proteggere i carichi di lavoro e i dati. GuardDuty analizza eventi in varie origini dati AWS, tra cui i log di AWS CloudTrail, i flussi di log di Amazon Virtual Private Cloud (Amazon VPC) e i log delle query DNS. GuardDuty monitora anche gli eventi di dati di Amazon Simple Storage Service (Amazon S3), gli eventi di accesso ad Amazon Aurora e l'attività di runtime per Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Compute Cloud (Amazon EC2) e Amazon Elastic Container Service (Amazon ECS), inclusi i carichi di lavoro dei container serverless su AWS Fargate.

L'immagine mostra una persona che analizza i dati sullo schermo di un computer

Caratteristiche principali

GuardDuty offre un servizio di rilevamento di minacce preciso e consente di individuare gli account compromessi, obiettivo solitamente molto difficile da raggiungere in modo rapido senza un monitoraggio estremamente accurato in tempo reale. GuardDuty può rilevare diversi indizi della compromissione di un account, ad esempio l'accesso a risorse AWS da posizioni geografiche o ad orari inconsueti. Per gli account AWS programmatici, GuardDuty verifica la presenza di chiamate API inusuali, ad esempio tentativi di nascondere le attività di un account disabilitando la registrazione di log di CloudTrail o la raccolta di snapshot di database da un indirizzo IP malevole.

GuardDuty monitora e analizza in modo continuo i dati di evento di carichi di lavoro e account AWS raccolti in CloudTrail, nei log di flusso di VPC e nei DNS. Non è prevista l'implementazione o la manutenzione di altri prodotti software o infrastrutture per le protezioni di base in GuardDuty. Associando diversi account AWS è anche possibile aggregare i risultati del rilevamento delle minacce senza dover controllare singolarmente i risultati di ciascun account. Inoltre, non è necessario raccogliere, analizzare e mettere in correlazione grandi volumi di dati da diversi account AWS. È così possibile concentrarsi su come rispondere a questi eventi in modo rapido, come mantenere la propria azienda protetta e continuare a dimensionare e innovare in AWS.

GuardDuty offre l'accesso a tecniche integrate di rilevamento sviluppate e ottimizzate per il cloud. AWS Security mantiene continuativamente questi algoritmi di rilevamento migliorandoli. Le categorie principali di rilevamento sono le seguenti:

  • Riconoscimento: attività che suggeriscono la presenza di un utente malintenzionato, ad esempio attività API inconsuete, tentativi sospetti di accesso al database, attività di scansione di porte in VPC, pattern inusuali di tentativi di accesso non riusciti o analisi di porte non bloccate da IP pericolosi noti.
  • Compromissione di istanze: attività che suggeriscono la compromissione di un'istanza, ad esempio attività di mining di criptovalute, attività di controllo e comando backdoor (C&C), attività di runtime per Amazon EC2, malware che si avvalgono di algoritmi per la generazione di domini (o algoritmi DGA), attività di denial of service in uscita, volumi di traffico di rete insolitamente elevati, protocolli di rete inusuali, comunicazioni in uscita dall'istanza verso IP pericolosi noti, credenziali temporanee di Amazon EC2 utilizzate da un indirizzo IP esterno ed esfiltrazioni di dati tramite DNS.
  • Compromissione di account: schemi che spesso indicano la compromissione di un account, ad esempio chiamate API provenienti da luoghi geografici inconsueti o resi anonimi tramite proxy, tentativi di disattivazione della registrazione AWS CloudTrail, modifiche che possono indebolire la policy della password dell'account, avvio di istanze o infrastrutture inusuali, implementazioni di infrastruttura in una regione insolita, furto di credenziali, attività sospette di accesso al database e chiamate API da indirizzi IP pericolosi noti.
  • Compromissione di bucket: attività che indica la compromissione di un bucket, come modelli di accesso ai dati sospetti che indicano un utilizzo errato delle credenziali, attività insolite di API Amazon S3 da un host remoto, accesso non autorizzato a S3 da indirizzi IP pericolosi noti e chiamate API per il recupero di dati in bucket S3 da parte di un utente che non rientra nella cronologia degli accessi al bucket o richiamata da una posizione insolita. Amazon GuardDuty monitora e analizza in modo continuo gli eventi sui dati S3 di AWS CloudTrail (per esempio GetObject, ListObjects, DeleteObject) per rilevare attività sospette tra tutti i bucket Amazon S3.
  • Malware: GuardDuty è in grado di rilevare la presenza di malware, come trojan, worm, crypto miner, rootkit o bot, che può essere utilizzato per compromettere i carichi di lavoro delle istanze o dei container Amazon EC2 oppure caricato nei bucket Amazon S3.
  • Compromissione dei container: attività che identificano possibili comportamenti dannosi o sospetti nei carichi di lavoro dei container sono rilevate tramite il monitoraggio e la profilazione continua dei cluster Amazon EKS tramite l'analisi dei log di controllo EKS e l’attività di runtime dei container in Amazon EKS o Amazon ECS.

Ecco un elenco completo dei tipi di esiti di GuardDuty.

GuardDuty è provvisto di tre livelli di gravità degli elementi rilevati, Basso, Medio e Alto, per aiutare a stabilire sempre la giusta priorità delle potenziali minacce. Il livello Basso indica attività sospette o dannose bloccate prima che potessero compromettere le risorse. Il livello Medio indica attività sospette. Ad esempio, può indicare un livello elevato di traffico restituito da un host remoto nascosto nella rete Tor o un'attività che devia dal comportamento consueto. Il livello Alto indica che una risorsa (ad esempio, un'istanza EC2 o un set di credenziali utente IAM) è compromessa e che è attivamente utilizzata per scopi non autorizzati.

GuardDuty offre API HTTPS e strumenti di interfaccia della linea di comando (CLI), oltre all'integrazione con Amazon EventBridge per supportare risposte di sicurezza automatiche agli esiti di sicurezza. Ad esempio, è possibile automatizzare un flusso di lavoro di risposta utilizzando EventBridge come origine di evento per richiamare una funzione Lambda.

GuardDuty è stato progettato per gestire automaticamente l'utilizzo delle risorse in base al livello generale di attività nei carichi di lavoro, negli account AWS e nei dati. Il servizio aumenta le proprie risorse solo se necessario, riducendole quando la capacità supplementare non è più richiesta. Sarà così possibile disporre di un'infrastruttura di protezione dai costi ottimizzati che mantiene sempre una capacità perfettamente in linea con le esigenze di elaborazione. Verranno addebitati esclusivamente i costi per la capacità di rilevamento utilizzata. GuardDuty offre sicurezza scalabile, indipendentemente dalle dimensioni dell'azienda.

Per abilitare GuardDuty in un account, è sufficiente un semplice clic nella Console di gestione AWS o una singola chiamata API. Con pochi altri comandi, la protezione GuardDuty può essere estesa su più account. GuardDuty supporta più account tramite l'integrazione con AWS Organizations e in modo nativo nell'ambito dello stesso servizio. Una volta attivato, GuardDuty inizia immediatamente ad analizzare i flussi di attività di rete e dell'account quasi in tempo reale e su vasta scala. Non è necessario implementare o gestire ulteriori software di sicurezza, sensori o appliance di rete. L'intelligence sulle minacce è preintegrata nel servizio e viene costantemente aggiornata.

GuardDuty fornisce una protezione completa per i carichi di lavoro dei container in tutto lo spazio di elaborazione AWS che altrimenti sarebbe difficile e complessa da raggiungere. Che tu stia eseguendo carichi di lavoro con controllo a livello di server su Amazon EC2, oppure carichi di lavoro di applicazioni moderne serverless su Amazon ECS con AWS Fargate, GuardDuty rileva attività potenzialmente dannose e sospette, ti offre un contesto a livello di container con monitoraggio del runtime e ti aiuta a identificare le lacune nella copertura di sicurezza nei carichi di lavoro dei container nel tuo ambiente AWS.