AWS анонсировала расширенное обнаружение угроз Amazon GuardDuty — функцию, использующую возможности ИИ/МО для улучшения обнаружения угроз для ваших приложений, рабочих нагрузок и данных. Расширенное обнаружение угроз GuardDuty использует сложные алгоритмы ИИ/МО для выявления как известных, так и ранее неизвестных последовательностей атак, предлагая более комплексный и проактивный подход к безопасности облака. Это усовершенствование призвано решить проблему растущей сложности современных облачных сред и меняющегося ландшафта угроз безопасности, упрощая обнаружение угроз и реагирование на них.
Многие организации сталкиваются с трудностями при эффективном анализе большого количества событий безопасности, генерируемых в их облачных средах, и реагировании на них. С ростом частоты и сложности угроз безопасности стало сложнее эффективно обнаруживать атаки, происходящие в виде последовательностей событий с течением времени, и реагировать на них. Группы безопасности часто с трудом собирают воедино связанные действия, которые могут быть частью более крупной атаки, потенциально пропуская критические угрозы или реагируя слишком поздно, чтобы предотвратить значительное воздействие.
Чтобы решить эти проблемы, мы расширили возможности GuardDuty по обнаружению угроз, включив новые функции ИИ/МО, которые соотносят сигналы безопасности для выявления активных последовательностей атак в вашей среде AWS. Эти последовательности могут включать несколько шагов, предпринимаемых злоумышленником, таких как обнаружение привилегий, манипуляции с API, действия по обеспечению устойчивости и эксфильтрация данных. Эти обнаружения представлены как выявленные последовательности атак — новый тип выявленных GuardDuty событий с критической степенью серьезности. Ранее GuardDuty никогда не использовала критическую степень серьезности, резервируя этот уровень для обнаружений с максимальной уверенностью и срочностью. Эти новые обнаружения вводят критическую степень серьезности и включают краткое описание характера и значения угрозы на естественном языке, наблюдаемые действия, сопоставленные с тактиками и методами из фреймворка MITRE ATT&CK®, и предписывающие рекомендации по исправлению, основанные на передовых методах AWS.
Расширенное обнаружение угроз GuardDuty представляет новые выявленные последовательности атак и улучшает возможности реагирования на существующие обнаружения в таких областях, как эксфильтрация учетных данных, повышение привилегий и эксфильтрация данных. Это усовершенствование позволяет GuardDuty предлагать составные обнаружения, охватывающие несколько источников данных, периодов времени и ресурсов в рамках учетной записи, предоставляя вам более полное представление о сложных облачных атаках.
