Śledczy ds. bezpieczeństwa -
Amazon Detective
Cyberbezpieczeństwo jest jednym z priorytetów w dobie społeczeństwa informacyjnego, gdzie dane są wartością samą w sobie. Warto, więc zwrócić uwagę na odpowiednio zaprojektowane zabezpieczenia. By móc zapewnić zgodność z wymaganymi normami oraz najwyższą jakość rozwiązań, Amazon Web Services (AWS) przygotował szereg usług z kategorii Security: Amazon GuardDuty, Amazon Macie czy AWS SecurityHub (pobierz infografikę), które pomagają w zapewnieniu najwyższej ochrony. Dodatkowo, istniejący u klienta poziom bezpieczeństwa można rozszerzyć o dedykowane rozwiązania partnerów AWS. Wszystkie te usługi i rozwiązania umożliwiają wykrycie i eliminację błędów związanych z bezpieczeństwem oraz przeciwdziałają security incidents. Jednak, gdy przyczyna mimo wszystko leży głębiej, z pomocą przychodzi Amazon Detective.
Czym jest Amazon Detective?
Amazon Detective to najnowsza usługa z rodziny Security od AWS. Wykorzystuje uczenie maszynowe, analizę statystyczną i teorię grafów, w połączeniu z danymi z dziennika zasobów w AWS, by wykryć potencjalnie niebezpieczne działania oraz problemy z bezpieczeństwem. Amazon Detective tworzy specjalny behavior graph, który umożliwia klientom przeglądanie podsumowań i danych analitycznych związanych ze zdarzeniami w AWS CloudTrail, a także VPC Flow Logs. W przypadku klientów, którzy mają włączoną usługę Amazon GuardDuty, Amazon Detective przetwarza również uzyskane z GuardDuty wyniki i integruje te Indicators of Compromise (IoC) z analizą całościową.
Zatem jak działa usługa? Amazon Detective pozwala na automatyzację ciężkich operacji związanych z przetwarzaniem dużych ilości danych z dzienników AWS, mając na celu ustalenie przyczyny zagrożenia i jej wpływu na bezpieczeństwo. Wykorzystuje modele uczenia maszynowego do tworzenia graficznych prezentacji zachowania konta i pomaga odpowiedzieć na takie pytania jak: „czy jest to niestandardowe wywołanie API dla tej roli?” lub „czy ten wzrost ruchu dla tej instancji jest spodziewany?”. Nie ma konieczności pisania nowego kodu, konfigurowania ani dostosowywania własnych zapytań.
Jak działa usługa AWS?
Amazon Detective pozwala na automatyzację ciężkich operacji związanych z przetwarzaniem dużych ilości danych z dzienników AWS, mając na celu ustalenie przyczyny zagrożenia i jej wpływu na bezpieczeństwo. Wykorzystuje modele uczenia maszynowego do tworzenia graficznych prezentacji zachowania konta i pomaga odpowiedzieć na takie pytania jak: „czy jest to niestandardowe wywołanie API dla tej IAM roles?” lub „czy ten wzrost ruchu dla tej instancji jest spodziewany?”. Nie ma konieczności pisania nowego kodu, konfigurowania ani dostosowywania własnych zapytań. Dodatkowo, Amazon Detective analizuje zdarzenia w kontekście standardów bezpieczeństwa, w tym MITRE ATT&CK framework, co pozwala na kompleksową ocenę zagrożeń.
Źródło: https://aws.amazon.com/detective/
3 kluczowe zastosowania Amazon Detective
Usługę Amazon Detective można wykorzystać w 3 przypadkach:
Triage security findings – Security investigations
Triaż to z reguły pierwsza czynność w procesie dochodzeniowym, niezbędna do podjęcia decyzji czy występujący incydent jest faktycznym, czy pozornym zagrożeniem. Dzięki wizualizacji dostarczanej przez usługę Amazon Detective, można ustalić powiązane z incydentem adresy IP, zasoby i konta AWS oraz działania w czasie, w którym miało miejsce zdarzenie i ustalić czy to rzeczywiście złośliwa aktywność lub fałszywy alarm. Finding Groups funkcjonalność pozwala na grupowanie powiązanych ze sobą alertów, co znacząco ułatwia prowadzenie security investigations.
Incident investigation – analizowanie security incidents
Amazon Detective umożliwia przeprowadzenie procesu śledczego, z dogłębną analizą złośliwej aktywności, wykrytej przez takie usługi jak np. Amazon GuardDuty, wraz z ustaleniem jej wpływu na bezpieczeństwo. Analiza polega na porównaniu archiwalnych działań z obecnymi oraz identyfikacji nietypowych wzorców, by określić dlaczego obecne działanie wywołało alert. Integracja z Amazon Security Lake pozwala na łączenie tych danych z innymi źródłami informacji o zagrożeniach.
Threat hunting – proaktywne wykrywanie zagrożeń
Threat hunting jest to proaktywna analiza, której celem jest lokalizowanie ukrytych zagrożeń na bazie hipotez i wskazówek. Usługa dostarcza wyjaśnień opartych na analizie czasowej i możliwości zagłębienia się, by ustalić zmiany, jakie nastąpiły w danym przedziale czasowym. Amazon Detective pomaga zespołom bezpieczeństwa w identyfikacji potencjalnych zagrożeń, zanim przerodzą się one w poważne security incidents.
Dostępność i koszty
Usługa Amazon Detective dostępna jest w następujących regionach AWS w Europie: Dublin, Frankfurt, London, Paris, Stockholm. Aktualizacje związane z dostępnością można na bieżąco śledzić pod tym linkiem.
Koszty wykorzystania usługi wyliczane są na podstawie ilości danych pozyskanych z AWS CloudTrail, VPC Flow Logs i wyników z Amazon GuardDuty. Poniżej przykładowy cennik dla regionu w Irlandii.
Dokładny sposób wyliczenia kosztów można znaleźć pod tym linkiem.
Amazon Detective Benefits
Korzyści, które płyną z zastosowania Amazon Detective to przede wszystkim uproszczenie procesu dochodzeniowego oraz usprawnienie wykrywania potencjalnych zagrożeń. Pozwala na uzyskanie szczegółowych danych związanych z incydentami (np. wywołanie interfejsu API do logowania do konsoli – dostajemy dane takie jak informacja o czasie, o próbie logowania, o geolokalizacji) i analizę czy dane działanie jest zagrożeniem.
Amazon Detective daje ciągłą aktualizację danych, w połączeniu z oszczędnością czasu. Usługa przetwarza terabajty rekordów danych zdarzeń dotyczących ruchu IP, operacji zarządzania AWS oraz złośliwej lub nieautoryzowanej aktywności. Gdy pojawiają się nowe dane lub ulegają zmianie – model tworzony w usłudze ulega aktualizacji, co pozwala na ograniczenie czasu na zarządzanie nimi.
Informacje z analiz przedstawiane są w formie wygodnych wizualizacji, umożliwiających podejmowanie trafnych decyzji i ustalenie odpowiedzi na takie pytania jak: czy ruch na instancji jest spodziewany lub kwestii związanych z nieudanym wywoływaniem API dla danych IAM roles. Dodatkowo wszystkie przeanalizowane dane są przechowywane do roku wstecz, a opłata za usługę dotyczy analizowanych zdarzeń.
W połączeniu z usługami takimi jak Security Hub oraz Amazon GuardDuty, Amazon Detective stanowi kompletne rozwiązanie do monitorowania, wykrywania i analizy zagrożeń w środowisku AWS. Dzięki automatyzacji i wykorzystaniu zaawansowanych algorytmów, usługa ta znacząco usprawnia pracę zespołów bezpieczeństwa i pomaga w szybszym i skuteczniejszym reagowaniu na security incidents.
Podsumowanie
Amazon Detective to usługa AWS, która wspiera analizę security incidents i prowadzenie security investigations. Wykorzystując behavior graph, dane z VPC Flow Logs, CloudTrail i Amazon GuardDuty, pozwala identyfikować Indicators of Compromise (IoC) i nietypowe aktywności. Integracja z Security Hub i Amazon Security Lake umożliwia pełniejszy wgląd w zagrożenia.
Dzięki uczeniu maszynowemu oraz odniesieniom do MITRE ATT&CK framework, Amazon Detective automatyzuje proces dochodzeniowy i wspiera threat hunting bez potrzeby pisania zapytań. To kluczowe narzędzie do szybkiego reagowania na incydenty w środowisku AWS.