Amazon ออก GuardDuty ฟีเจอร์ใหม่เพื่อตรวจจับและติดตามภัยคุกคาม

Amazon ได้ออกฟีเจอร์เพื่อช่วยให้ระบบ IT ปลอดภัยจากภัยคุกคามที่อาจะเกิดขึ้น โดยการใช้เทคโนโลยี Machine Learning เรียนรู้จากข้อมูลที่ Amazon สร้างขึ้น ซึ่งตัว GuardDuty เองได้วิเคราะห์ข้อมูลกว่าพันล้านเหตุการณ์เพื่อเข้าใจถึงเทรน รูปแบบ และความผิดปกติที่อาจจะเป็นสัญญานของความผิดพลาด นอกจากนี้ผู้ใช้งานยังสามารถดูสิ่งหาเจอได้อย่างรวดเร็ว

วิธีการทำงาน

GuardDuty ใช้ข้อมูลปริมาณมหาศาลประกอบด้วย แหล่งข้อมูลที่มีหลักฐาน (Threat Intelligence) จากหลายแห่ง, โดเมนที่หลอกหลวง, IP address ของมัลแวร์ และปัจจัยอื่นๆ ที่สำคัญ ให้ระบบเรียนรู้เพื่อที่จะสามารถระบุพฤติกรรมที่ไม่ได้รับการพิสูจน์ตัวตนหรือไม่เหมาะสมต่อบัญชี AWS ของผู้ใช้ได้อย่างแม่นยำ นอกจากนี้ด้วยการผสานข้อมูลจากฟีเจอร์ของ VPC Flow Logs (เก็บ Log IP ที่ผ่านเข้าออกระบบเครือข่ายของผู้ใช้งาน) รวมกับ CloudTrail Event Logs (เก็บ Log ในรูปแบบของ Jason เพื่อ) และ DNS Logs ทำให้ GuardDuty สามารถตรวจพบพฤติกรรมที่อันตรายหรือผิดปกติเช่น การแสกนหาช่องโหว่ การแสกนพอร์ต และเข้าถึงจากสถานที่ไม่คุ้นเคย

ในฝั่งของ AWS เองจากคอยดูกิจกรรมต้องสงสัยของบัญชีต่างๆ เช่น การติดตั้งที่ไม่ได้รับการพิสูจน์ตัวตน กิจกรรมใน CloudTrail ที่แตกต่างจากเดิม รูปแบบของการใช้งาน API ใน AWS และความพยายามในการขยายข้อจำกัดของบริการต่างๆ ส่วน GuardDuty จะคอยตรวจสอบการแทรกแทรง EC2 ที่เกิดจากองค์ประกอบหรือบริการที่ผิดวัตถุประสงค์ รวมถึงการรั่วไหลของข้อมูลและการใช้ทรัพยากรเพื่อทำ Cryptocurrency Mining

ในด้านประสิทธิภาพ GuardDuty ตั้งอยู่บนโครงสร้างของ AWS เอง ซึ่งจะไม่ส่งผลกระทบต่อประสิทธิภาพในการทำงานของระบบผู้ใช้งาน นอกจากนี้ผู้ใช้ไม่จำเป็นต้องติดตั้ง Agent, Sensors หรืออุปกรณ์เครือข่ายเพื่อใช้งาน GuardDuty ดังนั้นมันเป็นโมเดลที่ทีมงานความมั่นคงปลอดภัยควรจะนำไปใช้งานกับบัญชีบน AWS เนื่องจากไม่ต้องทำอะไรเพิ่มเติมเลย

กิจกรรมที่ GuardDuty ค้นพบสามารถจำแนกได้ 3 ระดับคือ ต่ำ กลาง และสูง พร้อมทั้งให้รายละเอียดของหลักฐานและคำแนะนำในการแก้ไข โดยสิ่งที่ค้นพบนั้นจะปรากฎอยู่ใน Amazon CloudWatch Event (ฟังก์ชันติดตามการเปลี่ยนแปลงที่เกิดขึ้นกับทรัพยากรบน AWS) สิ่งนี้เองสามารถทำให้ผู้ใช้สามารถใช้งาน AWS Lambda ต่อเพื่อแก้ปัญหาได้อย่างอัตโนมัติ  นอกจากนี้ยังสามารถส่งเหตุการณ์ที่ GuardDuty ค้นพบไปยังระบบบริหารจัดการเหตุการณ์ เช่น Splunk, Sumo Logic, PagerDuty หรือระบบการทำงานอย่าง JIRA, ServiceNow และ Slack

ที่มา : https://aws.amazon.com/blogs/aws/amazon-guardduty-continuous-security-monitoring-threat-detection/