Microsoft Azure by Ingram Micro (Thailand)

Amazon ออก GuardDuty ฟีเจอร์ใหม่เพื่อตรวจจับและติดตามภัยคุกคาม

Amazon ได้ออกฟีเจอร์เพื่อช่วยให้ระบบ IT ปลอดภัยจากภัยคุกคามที่อาจะเกิดขึ้น โดยการใช้เทคโนโลยี Machine Learning เรียนรู้จากข้อมูลที่ Amazon สร้างขึ้น ซึ่งตัว GuardDuty เองได้วิเคราะห์ข้อมูลกว่าพันล้านเหตุการณ์เพื่อเข้าใจถึงเทรน รูปแบบ และความผิดปกติที่อาจจะเป็นสัญญานของความผิดพลาด นอกจากนี้ผู้ใช้งานยังสามารถดูสิ่งหาเจอได้อย่างรวดเร็ว

credit : AWS Blog

วิธีการทำงาน

GuardDuty ใช้ข้อมูลปริมาณมหาศาลประกอบด้วย แหล่งข้อมูลที่มีหลักฐาน (Threat Intelligence) จากหลายแห่ง, โดเมนที่หลอกหลวง, IP address ของมัลแวร์ และปัจจัยอื่นๆ ที่สำคัญ ให้ระบบเรียนรู้เพื่อที่จะสามารถระบุพฤติกรรมที่ไม่ได้รับการพิสูจน์ตัวตนหรือไม่เหมาะสมต่อบัญชี AWS ของผู้ใช้ได้อย่างแม่นยำ นอกจากนี้ด้วยการผสานข้อมูลจากฟีเจอร์ของ VPC Flow Logs (เก็บ Log IP ที่ผ่านเข้าออกระบบเครือข่ายของผู้ใช้งาน) รวมกับ CloudTrail Event Logs (เก็บ Log ในรูปแบบของ Jason เพื่อ) และ DNS Logs ทำให้ GuardDuty สามารถตรวจพบพฤติกรรมที่อันตรายหรือผิดปกติเช่น การแสกนหาช่องโหว่ การแสกนพอร์ต และเข้าถึงจากสถานที่ไม่คุ้นเคย

ในฝั่งของ AWS เองจากคอยดูกิจกรรมต้องสงสัยของบัญชีต่างๆ เช่น การติดตั้งที่ไม่ได้รับการพิสูจน์ตัวตน กิจกรรมใน CloudTrail ที่แตกต่างจากเดิม รูปแบบของการใช้งาน API ใน AWS และความพยายามในการขยายข้อจำกัดของบริการต่างๆ ส่วน GuardDuty จะคอยตรวจสอบการแทรกแทรง EC2 ที่เกิดจากองค์ประกอบหรือบริการที่ผิดวัตถุประสงค์ รวมถึงการรั่วไหลของข้อมูลและการใช้ทรัพยากรเพื่อทำ Cryptocurrency Mining

ในด้านประสิทธิภาพ GuardDuty ตั้งอยู่บนโครงสร้างของ AWS เอง ซึ่งจะไม่ส่งผลกระทบต่อประสิทธิภาพในการทำงานของระบบผู้ใช้งาน นอกจากนี้ผู้ใช้ไม่จำเป็นต้องติดตั้ง Agent, Sensors หรืออุปกรณ์เครือข่ายเพื่อใช้งาน GuardDuty ดังนั้นมันเป็นโมเดลที่ทีมงานความมั่นคงปลอดภัยควรจะนำไปใช้งานกับบัญชีบน AWS เนื่องจากไม่ต้องทำอะไรเพิ่มเติมเลย

กิจกรรมที่ GuardDuty ค้นพบสามารถจำแนกได้ 3 ระดับคือ ต่ำ กลาง และสูง พร้อมทั้งให้รายละเอียดของหลักฐานและคำแนะนำในการแก้ไข โดยสิ่งที่ค้นพบนั้นจะปรากฎอยู่ใน Amazon CloudWatch Event (ฟังก์ชันติดตามการเปลี่ยนแปลงที่เกิดขึ้นกับทรัพยากรบน AWS) สิ่งนี้เองสามารถทำให้ผู้ใช้สามารถใช้งาน AWS Lambda ต่อเพื่อแก้ปัญหาได้อย่างอัตโนมัติ  นอกจากนี้ยังสามารถส่งเหตุการณ์ที่ GuardDuty ค้นพบไปยังระบบบริหารจัดการเหตุการณ์ เช่น Splunk, Sumo Logic, PagerDuty หรือระบบการทำงานอย่าง JIRA, ServiceNow และ Slack

ที่มา : https://aws.amazon.com/blogs/aws/amazon-guardduty-continuous-security-monitoring-threat-detection/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs [PR]

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs ขับเคลื่อน ด้วยขุมพลัง AI ยกระดับประสิทธิภาพการทำงาน การสร้างสรรค์ และประสบการณ์ของผู้ใช้ในสภาพแวดล้อม การทำงานแบบไฮบริด

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย