Amazon ออก GuardDuty ฟีเจอร์ใหม่เพื่อตรวจจับและติดตามภัยคุกคาม

Amazon ได้ออกฟีเจอร์เพื่อช่วยให้ระบบ IT ปลอดภัยจากภัยคุกคามที่อาจะเกิดขึ้น โดยการใช้เทคโนโลยี Machine Learning เรียนรู้จากข้อมูลที่ Amazon สร้างขึ้น ซึ่งตัว GuardDuty เองได้วิเคราะห์ข้อมูลกว่าพันล้านเหตุการณ์เพื่อเข้าใจถึงเทรน รูปแบบ และความผิดปกติที่อาจจะเป็นสัญญานของความผิดพลาด นอกจากนี้ผู้ใช้งานยังสามารถดูสิ่งหาเจอได้อย่างรวดเร็ว

credit : AWS Blog

วิธีการทำงาน

GuardDuty ใช้ข้อมูลปริมาณมหาศาลประกอบด้วย แหล่งข้อมูลที่มีหลักฐาน (Threat Intelligence) จากหลายแห่ง, โดเมนที่หลอกหลวง, IP address ของมัลแวร์ และปัจจัยอื่นๆ ที่สำคัญ ให้ระบบเรียนรู้เพื่อที่จะสามารถระบุพฤติกรรมที่ไม่ได้รับการพิสูจน์ตัวตนหรือไม่เหมาะสมต่อบัญชี AWS ของผู้ใช้ได้อย่างแม่นยำ นอกจากนี้ด้วยการผสานข้อมูลจากฟีเจอร์ของ VPC Flow Logs (เก็บ Log IP ที่ผ่านเข้าออกระบบเครือข่ายของผู้ใช้งาน) รวมกับ CloudTrail Event Logs (เก็บ Log ในรูปแบบของ Jason เพื่อ) และ DNS Logs ทำให้ GuardDuty สามารถตรวจพบพฤติกรรมที่อันตรายหรือผิดปกติเช่น การแสกนหาช่องโหว่ การแสกนพอร์ต และเข้าถึงจากสถานที่ไม่คุ้นเคย

ในฝั่งของ AWS เองจากคอยดูกิจกรรมต้องสงสัยของบัญชีต่างๆ เช่น การติดตั้งที่ไม่ได้รับการพิสูจน์ตัวตน กิจกรรมใน CloudTrail ที่แตกต่างจากเดิม รูปแบบของการใช้งาน API ใน AWS และความพยายามในการขยายข้อจำกัดของบริการต่างๆ ส่วน GuardDuty จะคอยตรวจสอบการแทรกแทรง EC2 ที่เกิดจากองค์ประกอบหรือบริการที่ผิดวัตถุประสงค์ รวมถึงการรั่วไหลของข้อมูลและการใช้ทรัพยากรเพื่อทำ Cryptocurrency Mining

ในด้านประสิทธิภาพ GuardDuty ตั้งอยู่บนโครงสร้างของ AWS เอง ซึ่งจะไม่ส่งผลกระทบต่อประสิทธิภาพในการทำงานของระบบผู้ใช้งาน นอกจากนี้ผู้ใช้ไม่จำเป็นต้องติดตั้ง Agent, Sensors หรืออุปกรณ์เครือข่ายเพื่อใช้งาน GuardDuty ดังนั้นมันเป็นโมเดลที่ทีมงานความมั่นคงปลอดภัยควรจะนำไปใช้งานกับบัญชีบน AWS เนื่องจากไม่ต้องทำอะไรเพิ่มเติมเลย

กิจกรรมที่ GuardDuty ค้นพบสามารถจำแนกได้ 3 ระดับคือ ต่ำ กลาง และสูง พร้อมทั้งให้รายละเอียดของหลักฐานและคำแนะนำในการแก้ไข โดยสิ่งที่ค้นพบนั้นจะปรากฎอยู่ใน Amazon CloudWatch Event (ฟังก์ชันติดตามการเปลี่ยนแปลงที่เกิดขึ้นกับทรัพยากรบน AWS) สิ่งนี้เองสามารถทำให้ผู้ใช้สามารถใช้งาน AWS Lambda ต่อเพื่อแก้ปัญหาได้อย่างอัตโนมัติ  นอกจากนี้ยังสามารถส่งเหตุการณ์ที่ GuardDuty ค้นพบไปยังระบบบริหารจัดการเหตุการณ์ เช่น Splunk, Sumo Logic, PagerDuty หรือระบบการทำงานอย่าง JIRA, ServiceNow และ Slack

ที่มา : https://aws.amazon.com/blogs/aws/amazon-guardduty-continuous-security-monitoring-threat-detection/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ออก Magic Quadrant ทางด้าน IDS/IPS ประจำปี 2018

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Intrusion Detection and Prevention Systems (IDPS) ประจำปี 2018 ผล …

เตือนคนขุดเหมืองเงินดิจิทัลเสี่ยงถูก Satori Botnet โจมตีโดยไม่รู้ตัว

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Netlab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Satori Botnet สายพันธุ์ใหม่ ซึ่งพุ่งเป้าโจมตีผู้ใช้ซอฟต์แวร์ Claymore ในการขุดเหมืองเงินดิจิทัล หลังพบเหยื่อหลายรายถูกเปลี่ยนการตั้งค่าสำหรับใช้ขุดเหมืองเป็นของแฮ็กเกอร์แทน กลายเป็นว่าตนเองถูกหลอกให้ขุดเงินดิจิทัลฟรีๆ