Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Sprawdź jej szczegóły Polityki Prywatności i Cookies.

Akceptuję arrow
Najnowszy wpis na blogu: Jak AWS i AWS Well-Architected Review pomagają w adopcji filozofii DevOps? Jak AWS i AWS Well-Architected Review pomagają w adopcji filozofii DevOps?
Zobacz kolejne wpisy na Blogu >

Śledczy ds. bezpieczeństwa -
Amazon Detective

29.4.2020 | LCloud
Udostępnij:

Cyberbezpieczeństwo jest jednym z priorytetów w dobie społeczeństwa informacyjnego, gdzie dane są wartością samą w sobie. Warto, więc zwrócić uwagę na odpowiednio zaprojektowane zabezpieczenia. By móc zapewnić zgodność z wymaganymi normami oraz najwyższą jakość rozwiązań, Amazon Web Services przygotował szereg usług z kategorii Security: Amazon GuardDuty, Amazon Macie czy AWS SecurityHub (pobierz infografikę), które pomagają w zapewnieniu najwyższej ochrony. Dodatkowo, istniejący u  klienta poziom bezpieczeństwa można rozszerzyć o dedykowane rozwiązania partnerów AWS. Wszystkie te usługi i rozwiązania umożliwiają wykrycie i eliminację błędów związanych z bezpieczeństwem. Jednak, gdy przyczyna mimo wszystko leży głębiej, z pomocą przychodzi Amazon Detective. 

 

Amazon Detective to najnowsza usługa z rodziny Security od AWS. Wykorzystuje uczenie maszynowe, analizę statystyczną i teorię grafów, w połączeniu z danymi z dziennika zasobów w AWS, by wykryć potencjalnie niebezpieczne działania oraz problemy z bezpieczeństwem. Umożliwia klientom przeglądanie podsumowań i danych analitycznych związanych ze zdarzeniami w AWS CloudTrail, a także VPC Flow Logs. W przypadku klientów, którzy mają włączoną usługę Amazon GuardDuty, Amazon Detective przetwarza również uzyskane z GuardDuty wyniki.
Zatem jak działa usługa? Amazon Detective pozwala na automatyzację ciężkich operacji związanych z przetwarzaniem dużych ilości danych z dzienników AWS, mając na celu ustalenie przyczyny zagrożenia i jej wpływu na bezpieczeństwo. Wykorzystuje modele uczenia maszynowego do tworzenia graficznych prezentacji zachowania konta i pomaga odpowiedzieć na takie pytania jak: „czy jest to niestandardowe wywołanie API dla tej roli?” lub „czy ten wzrost ruchu dla tej instancji jest spodziewany?”. Nie ma konieczności pisania nowego kodu, konfigurowania ani dostosowywania własnych zapytań.

Źródło: https://aws.amazon.com/detective/

Usługę Amazon Detective można wykorzystać w 3 przypadkach:
  • Triage security findings – triaż to z reguły pierwsza czynność w procesie dochodzeniowym, niezbędna do podjęcia decyzji czy występujący incydent jest faktycznym, czy pozornym zagrożeniem. Dzięki wizualizacji dostarczanej przez usługę Amazon Detective, można ustalić powiązane z incydentem adresy IP, zasoby i konta AWS oraz działania w czasie, w którym miało miejsce  zdarzenie i ustalić czy to rzeczywiście złośliwa aktywność lub fałszywy alarm.
  • Incident investigation – Amazon Detective umożliwia przeprowadzenie procesu śledczego, z dogłębną analizą złośliwej aktywności, wykrytej przez takie usługi jak np. Amazon GuardDuty, wraz z ustaleniem jej wpływu na bezpieczeństwo. Analiza polega na porównaniu archiwalnych działań z obecnymi oraz identyfikacji nietypowych wzorców, by określić dlaczego obecne działanie wywołało alert.
  • Threat hunting – jest to proaktywna analiza, której celem jest lokalizowanie ukrytych zagrożeń na bazie hipotez i wskazówek. Usługa dostarcza wyjaśnień opartych na analizie czasowej i możliwości zagłębienia się, by ustalić zmiany, jakie nastąpiły w danym przedziale czasowym.
Usługa dostępna jest we następujących regionach AWS w Europie: Dublin, Frankfurt, London, Paris, Stockholm. Aktualizacje związane z dostępnością można na bieżąco śledzić pod tym linkiem.
Koszty  wykorzystania usługi wyliczane są na podstawie ilości danych pozyskanych z AWS CloudTrail, VPC Flow Logs i wyników z Amazon GuardDuty. Poniżej przykładowy cennik dla regionu w Irlandii.

Dokładny sposób wyliczenia kosztów można znaleźć pod tym linkiem.
Korzyści, które płyną z zastosowania Amazon Detective to przede wszystkim uproszczenie procesu dochodzeniowego oraz usprawnienie wykrywania potencjalnych zagrożeń. Pozwala na uzyskanie szczegółowych danych związanych z  incydentami (np. wywołanie interfejsu API do logowania do konsoli – dostajemy dane takie jak informacja o czasie, o próbie logowania, o geolokalizacji) i analizę czy dane działanie jest zagrożeniem. Daje ciągłą aktualizację danych, w połączeniu z oszczędnością czasu. Usługa przetwarza terabajty rekordów danych zdarzeń dotyczących ruchu IP, operacji zarządzania AWS oraz złośliwej lub nieautoryzowanej aktywności. Gdy pojawiają się nowe dane lub ulegają zmianie – model tworzony w usłudze ulega aktualizacji, co pozwala na ograniczenie czasu na zarządzanie nimi. Informacje z analiz przedstawiane są w formie wygodnych wizualizacji, umożliwiających podejmowanie trafnych decyzji i ustalenie odpowiedzi na takie pytania jak: czy ruch na instancji jest spodziewany lub  kwestii związanych z nieudanym wywoływaniem API dla danych ról. Dodatkowo wszystkie przeanalizowane dane są przechowywane do roku wstecz, a opłata za usługę dotyczy analizowanych zdarzeń. 

× Niniejszym oświadczam, że zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. oraz ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną, wyrażam zgodę na przetwarzanie podanych przeze mnie danych osobowych w celach marketingowych, w tym celem otrzymywania informacji handlowych drogą elektroniczną pochodzących od Lcloud spółka z ograniczoną odpowiedzialnością na potrzeby promocji jej usług. Udostępniane dane są chronione w pełni zgodnie z Ustawą o ochronie danych osobowych. Lcloud Sp. z o.o. (z siedzibą w Warszawie, ul. Złotej 59) jest administratorem bazy danych osobowych. Udostępniający ma prawo do wglądu, zmiany i usunięcia danych osobowych z bazy Lcloud Sp. z o.o.

Szczegóły dotyczące sposobu, celu i czasu trwania przetwarzania dostępne są w Polityce Prywatności i Cookies.