re:Invent 2024有大量耀眼的新发布,这使得安全相关的发布更容易被忽视。实际上,亚马逊云科技正在通过一些自动化和AI的能力,以及简化设计的手段降低客户实现安全的门槛,让安全唾手可得。
亚马逊云科技CEO Matt Garman在主题演讲开始时就强调了安全的重要性:“客户选择亚马逊云科技的理由有很多,但有一点几乎是所有人都非常关注的,从初创公司到企业,再到政府,那就是安全性。”
以Amazon Security Incident Response提供自动化的响应能力
随着安全事件日益增多并变得更为复杂,企业的安全团队往往面临海量的日常警报,导致资源优先级处理不当,降低了响应效率。而手动调查安全发现不仅会消耗大量资源,还可能导致客户忽略关键安全警报,问题越发突出。
Amazon Security Incident Response安全事件响应服务正是为了解决这一痛点而推出的,它可以帮助企业快速有效地应对安全事件。帮助客户准备、响应和从各种安全事件中恢复而设计,包括账户接管、数据泄露和勒索软件攻击等
它通过AWS Security Hub自动处理来自Amazon GuardDuty和集成的第三方威胁检测工具的安全发现,帮助组织进行分诊和调查。能够智能地识别高优先级的安全事件,减少人工干预,节省时间和资源,让安全团队专注于更为关键的战略任务。
亚马逊云科技还提供了全天候的客户安全事件响应团队(CIRT)专家支持,协助应对安全事件。安全事件响应服务还能促进沟通与协调,简化的沟通和协作功能可以帮助企业快速协调内外部团队,确保事件响应的高效性。
安全事件响应服务提供了更全面的支持,涵盖整个安全事件响应周期里,从准备、检测、分析到恢复的全流程。通过自动化的能力和专业支持服务,提升企业在面对安全事件时的响应效率和处理能力。
Amazon GuardDuty利用AI提高威胁检测的精度和响应效率
随着安全威胁的频率和复杂度不断增加,有效检测和响应那些随着时间推移形成的攻击事件序列变得愈加困难。安全团队通常难以将相关活动串联在一起,可能会错过重要的威胁,或因响应迟缓而未能避免重大影响。
Amazon GuardDuty扩展的威胁检测功能,通过AI/ML技术,帮助企业更智能地检测和响应高级威胁。它能够自动关联来自多处的安全信号,识别并分析复杂的攻击序列,从而在攻击早期阶段及时识别潜在风险,提升响应效率。
与以往不同的是,Amazon GuardDuty现在可以发现严重级别的攻击序列。以前,Amazon GuardDuty从未使用过严重级别,这通常只有在最有信心和紧急的情况下才会使用这个级别。这次发布,可以认为其识别能力和准确性有了质的提升。
识别出威胁后,Amazon GuardDuty还会用自然语言介绍威胁性质和重要性,同时,它还能与MITRE ATT&CK框架的结合,使得安全团队可以更加精准地理解攻击路径,采取及时有效的防御措施。
Amazon GuardDuty的扩展威胁检测功能的核心价值,在于通过自动化分析多个数据源的安全信息,同时利用AI的能力减少人工干预,快速识别和优先处理重要威胁,特别是能识别严重级别的威胁,这将帮用户提供更全面和准确的攻击分析。
亚马逊云科技安全部门主管Mark Ryland在采访中提到,新的机器学习模型能够分析和关联多层次的安全威胁,这一能力远超传统的AI模型,使得对威胁的识别更加精准和快速。
Amazon OpenSearch与Security Lake的Zero-ETL集成简化了安全数据的查询和分析
在当前复杂的安全环境中,企业面临着如何高效分析和利用大规模安全数据的挑战,尤其是在安全调查中,如何从海量数据中快速提取可操作的洞察,一直是困扰安全人员的大难题。
Amazon OpenSearch Service与Amazon Security Lake的Zero-ETL集成提供了解决之道。用户可以直接在Amazon OpenSearch中查询并分析存放在Security Lake中的安全数据,这样既减少了数据移动的成本,也避免了管理自定义数据管道的开销。让企业无需增加额外资源即可高效利用大规模数据,快速洞察安全威胁。
此外,这种集成还提供了基于开放网络安全架构框架(OCSF)预构建的查询能力, OCSF统一了安全数据的格式和结构,支持用户在单一平台上跨多个数据源进行查询与可视化,简化调查流程。
对于时间敏感的调查和监控,用户可以启用加速功能,在 Amazon OpenSearch 服务中启用索引视图和仪表板。此时,查询性能得到显著提升,从而更好地支持时间敏感的安全监控和决策。
通过这一集成,Amazon OpenSearch与Security Lake优化了安全数据的管理和查询效率,帮助企业提升安全态势感知能力,释放更多分析价值,为更高效的安全防护奠定基础。
没有HTTPS也能使用Amazon Verified Access了
Amazon Verified Access是亚马逊推出的零信任访问控制安全服务,它能基于身份和设备来管理网络访问,而不是基于IP地址,从而增加对应用访问的控制和安全性。
Amazon Verified Access主要是给企业开发人员准备的。它可以不需要VPN就能实现远程的安全访问。与传统VPN解决方案不同的是,它提供了细粒度的访问控制,避免了过大的权限授予,从而降低了数据泄露的风险。
与其他传统的权限控制机制相比,Amazon Verified Access除了验证用户身份外,还会检查设备是否符合安全标准。同时,它还会根据用户的身份和设备的实时安全状态来动态调整访问权限,根据当前环境的变化灵活控制访问。
现在,Amazon Verified Access支持使用TCP、SSH、ODBC和RDP等非HTTPS协议。现代安全实践都非常推崇使用HTTPS这种加密的协议,而这次更新后,用户可以通过它来实现对数据库、Amazon EC2实例和远程桌面的统一安全访问,显然是简化了对应用和资源做安全管理的操作。
总的来说,这项新功能避免了VPN的粗粒度的问题,也解决了堡垒主机在面对HTTPS和非HTTP时的管理复杂性问题,为企业提供了更加安全、简化且高效的访问控制解决方案,帮助企业更好地应对现代化的安全挑战。
在AI服务中构建的安全能力
Mark Ryland 在采访中提到了AI数据生命周期中的安全风险,他提到:在使用外部数据源时要尤为注意数据被恶意篡改的风险。而在内部安全管理中,要注意人员可能造成的威胁,尤其是那些拥有比其他员工更高权限的员工。
针对这些问题,Ryland 提到亚马逊云科技的 SageMaker 系统提供从数据分析到机器学习的解决方案,这样一来,传统的数据分析师可以获得更强的能力,同时增强了数据权限和日志管理的控制,进一步提高了安全性。
新一代的Amazon SageMaker中,我们可以注意到,用户可以轻松定义和实施跨模型、工具和数据源的权限,而定制的安全措施有助于确保AI应用程序的安全性和合规性。还可以通过Amazon SageMaker中的数据分类、toxicity detection、Guardrails和负责任的AI策略来保护其AI模型。
Amazon Bedrock是另外一项重要的生成式AI服务。Amazon Bedrock Guardrails中新增的多模态毒性检测功能,可以支持对图像等非结构化数据进行检测。而自动推理检查功能是利用逻辑准确且可验证的推理,来帮助防止因模型幻觉而导致的事实性错误。
Mark Ryland还透露称,未来,亚马逊云科技还将继续发布更多创新服务,进一步简化用户的使用难度,并提升构建效率。
小结
re:Invent 2024期间的安全发布展示了亚马逊云科技通过AI与自动化能力简化安全防护,使得企业能够更高效地应对复杂的安全事件,并提供了灵活、低门槛的安全解决方案,为客户带来更智能、便捷的安全保障。
