引言
威胁情报的规模与影响
-
每天观察超过7亿次威胁互动
-
约4.5亿次可被归类为恶意行为
-
在过去12个月中:
-
成功检测并限制约270亿次对S3存储桶的未授权访问尝试
-
阻止了约2.7万亿次针对EC2上易受攻击服务的访问
-
发出约8万次takedown请求以瓦解恶意行为者的基础设施
三大核心威胁情报系统
1. MatPot蜜罐系统
MatPot是AWS的全球分布式蜜罐网络,是其威胁情报生产的核心系统之一。
技术特点
-
动态适应性:持续演化和改变策略
-
广泛覆盖:模拟数百种不同服务和协议
-
快速响应:平均90秒内可检测到探测,3分钟内发现主动利用
-
深度集成:与AWS Shield、WAF和GuardDuty等安全服务紧密结合
设计原则
-
开发敏捷性
-
安全工程师和软件工程师协同开发
-
支持快速迭代和更新
-
实验导向
-
内置实验能力
-
优化与威胁行为者的互动
-
真实性和隐蔽性
-
难以被识别为蜜罐
-
平衡暴露度和真实性
-
高质量数据采集
-
完善的互动分类系统
-
可信的威胁判定机制
-
威胁工件处理
-
自动化的工件提取
-
安全的存储机制
2. Sonaris系统
Sonaris专注于检测和限制滥用扫描和利用尝试。
核心能力
-
与MatPot深度集成
-
高准确度的威胁识别
-
精确的干预机制
-
自动化的规则生成
应用场景
-
为AWS WAF提供托管规则
-
为Route 53 Resolver DNS防火墙提供规则
-
快速响应新型漏洞威胁
3. Mithra系统
Mithra是AWS基于神经网络的图模型系统,专门用于识别恶意域名。
技术规模
-
38亿个节点
-
480亿条边
关键优势
-
高精确度的恶意域名识别
-
领先外部威胁情报源数天到数月的预警能力
-
持续的自我学习和进化能力
威胁情报的生产方法
主动收集方法
AWS采用以下欺骗技术进行威胁情报收集:
-
诱饵和陷阱
-
策略性暴露的信息和工件
-
针对性的服务模拟
-
精心设计的系统漏洞
-
蜜标(Honey Tokens)
-
虚假但可信的数字实体
-
多样化的诱饵类型
-
预警触发机制
-
蜜罐(Honeypots)
-
低交互蜜罐:用于大规模探测检测
-
高交互蜜罐:完整服务模拟
威胁情报处理流程
原文始发于微信公众号(天御攻防实验室):亚马逊云服务(AWS)如何生产威胁情报(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论