• December 6, 2024

Memperkenalkan Amazon GuardDuty Extended Threat Detection: Identifikasi urutan serangan menggunakan AI/ML untuk meningkatkan keamanan cloud

Hari ini, saya dengan senang hati memperkenalkan kemampuan deteksi ancaman canggih berbasis AI/ML di Amazon GuardDuty. Fitur baru ini memanfaatkan visibilitas dan skala cloud AWS untuk memberikan deteksi ancaman yang lebih baik untuk aplikasi, beban kerja, dan data Anda. GuardDuty Extended Threat Detection menggunakan AI/ML canggih untuk mengidentifikasi urutan serangan yang dikenal maupun yang sebelumnya tidak diketahui, memberikan pendekatan yang lebih komprehensif dan proaktif dalam keamanan cloud. Pembaruan ini menangani kompleksitas yang semakin meningkat di lingkungan cloud modern dan ancaman keamanan yang terus berkembang, menyederhanakan deteksi dan respons ancaman.

Banyak organisasi menghadapi tantangan dalam menganalisis dan merespons volume besar peristiwa keamanan yang dihasilkan di lingkungan cloud mereka. Dengan meningkatnya frekuensi dan kecanggihan ancaman keamanan, semakin sulit untuk mendeteksi dan merespons serangan yang terjadi sebagai urutan peristiwa seiring waktu. Tim keamanan sering kesulitan untuk menyatukan aktivitas yang saling terkait yang mungkin merupakan bagian dari serangan besar, yang dapat menyebabkan ancaman kritis terlewat atau respons terlambat yang mengakibatkan dampak signifikan.

Untuk mengatasi tantangan ini, kami telah memperluas kemampuan deteksi ancaman GuardDuty dengan menambahkan kemampuan AI/ML baru yang menghubungkan sinyal keamanan untuk mengidentifikasi urutan serangan aktif di lingkungan AWS Anda. Urutan ini dapat mencakup beberapa langkah yang diambil oleh pihak yang tidak diinginkan, seperti penemuan hak istimewa, manipulasi API, aktivitas ketahanan, dan eksfiltrasi data. Deteksi ini disebut sebagai temuan urutan serangan, yang merupakan jenis temuan baru dengan tingkat keparahan kritis. Sebelumnya, GuardDuty tidak pernah menggunakan tingkat keparahan kritis, yang hanya digunakan untuk temuan dengan keyakinan dan urgensi tertinggi. Temuan baru ini memperkenalkan tingkat keparahan kritis dan mencakup ringkasan ancaman dalam bahasa alami, aktivitas yang diamati yang dipetakan ke taktik dan teknik dari MITRE ATT&CK® framework, serta rekomendasi pemulihan berdasarkan praktik terbaik AWS.

GuardDuty Extended Threat Detection memperkenalkan temuan urutan serangan baru dan meningkatkan tindak lanjut untuk deteksi yang ada dalam hal-hal seperti eksfiltrasi kredensial, eskalasi hak istimewa, dan eksfiltrasi data. Pembaruan ini memungkinkan GuardDuty menawarkan deteksi komposit yang mencakup berbagai sumber data, periode waktu, dan sumber daya dalam sebuah akun, memberi Anda pemahaman yang lebih komprehensif tentang serangan cloud yang canggih.

Cara menggunakan deteksi ancaman AI/ML baru di Amazon GuardDuty
Untuk mencoba deteksi ancaman AI/ML baru di GuardDuty, buka konsol Amazon GuardDuty dan jelajahi widget baru di halaman Ringkasan. Widget overview kini membantu Anda melihat jumlah urutan serangan yang ada dan mempertimbangkan detail dari urutan serangan tersebut. Temuan lingkungan cloud seringkali mengungkapkan serangan multistage, namun urutan serangan canggih ini berjumlah sedikit dan hanya mencakup sebagian kecil dari total temuan. Di akun ini, Anda dapat melihat berbagai temuan di lingkungan cloud, namun hanya sedikit urutan serangan yang sebenarnya. Di lingkungan cloud yang lebih besar, Anda mungkin melihat ratusan atau bahkan ribuan temuan, namun jumlah urutan serangan kemungkinan akan tetap relatif kecil jika dibandingkan.

Kami juga telah menambahkan widget baru yang membantu Anda melihat temuan yang dikelompokkan berdasarkan tingkat keparahan. Ini memudahkan Anda untuk dengan cepat berpindah dan menyelidiki temuan spesifik yang menarik bagi Anda. Temuan kini disusun berdasarkan Tingkat Keparahan, memberikan gambaran jelas tentang masalah yang paling kritis, termasuk kategori Kritis tambahan, yang memastikan bahwa deteksi yang paling mendesak segera menarik perhatian Anda. Anda juga dapat memfilter hanya untuk urutan serangan dengan memilih Hanya urutan serangan teratas.

Dengan pembaruan ini, Anda dapat lebih mudah mengidentifikasi masalah yang paling mendesak dan fokus pada deteksi yang memiliki potensi dampak terbesar.

Kemampuan baru ini diaktifkan secara default, jadi Anda tidak perlu melakukan langkah tambahan untuk mulai menggunakannya. Tidak ada biaya tambahan untuk fitur ini selain biaya dasar untuk GuardDuty dan rencana perlindungan terkait. Ketika Anda mengaktifkan rencana perlindungan GuardDuty tambahan, kemampuan ini akan memberikan nilai keamanan yang lebih terintegrasi, membantu Anda mendapatkan wawasan yang lebih dalam.

Anda dapat mengamati dua jenis temuan. Yang pertama adalah kompromi data, yang menunjukkan potensi kompromi data yang bisa menjadi bagian dari serangan ransomware yang lebih besar. Data adalah aset paling kritis bagi sebagian besar pelanggan, menjadikannya area yang sangat penting untuk diperhatikan. Temuan kedua adalah jenis kredensial yang dikompromikan, yang membantu Anda mendeteksi penyalahgunaan kredensial yang dikompromikan, biasanya pada tahap awal serangan di lingkungan cloud Anda.

Mari kita bahas salah satu temuan kompromi data. Saya akan fokus pada “Potensi kompromi data dari satu atau lebih S3 bucket yang melibatkan urutan tindakan di beberapa sinyal yang terkait dengan pengguna di akun Anda”. Temuan ini menunjukkan bahwa kami telah mengamati data yang dikompromikan di beberapa Amazon Simple Storage Service (Amazon S3) bucket dengan beberapa sinyal terkait.

Ringkasan yang diberikan dengan temuan ini memberikan detail penting, termasuk pengguna spesifik (yang diidentifikasi dengan ID prinsipal mereka) yang melakukan tindakan, akun dan sumber daya yang terpengaruh, serta periode waktu yang diperpanjang (hampir sepanjang hari) di mana aktivitas tersebut terjadi. Informasi ini dapat membantu Anda dengan cepat memahami cakupan dan tingkat keparahan potensi kompromi.

Temuan ini memiliki delapan sinyal berbeda yang diamati selama hampir 24 jam, yang menunjukkan penggunaan berbagai taktik dan teknik yang dipetakan ke MITRE ATT&CK® framework. Cakupan luas ini di seluruh rantai serangan—mulai dari akses kredensial, penemuan, penghindaran, ketahanan, bahkan dampak dan eksfiltrasi—menunjukkan bahwa ini mungkin merupakan insiden positif yang benar. Temuan ini juga menyoroti teknik yang mengkhawatirkan, yaitu penghancuran data, yang sangat mengkhawatirkan.

Selain itu, GuardDuty memberikan konteks keamanan lebih lanjut dengan menyoroti panggilan API sensitif, seperti pengguna yang menghapus jejak AWS CloudTrail. Perilaku penghindaran seperti ini, yang dipadukan dengan pembuatan kunci akses baru dan tindakan yang menargetkan objek Amazon S3, semakin memperkuat tingkat keparahan dan potensi cakupan insiden tersebut. Berdasarkan informasi yang disajikan dalam temuan ini, Anda kemungkinan akan ingin menyelidiki insiden ini lebih lanjut.

Meninjau taktik ATT&CK yang terkait dengan temuan memberikan visibilitas ke dalam taktik spesifik yang terlibat, apakah itu satu taktik atau beberapa. GuardDuty juga menawarkan indikator keamanan yang menjelaskan mengapa aktivitas tersebut dianggap mencurigakan dan diberi tingkat keparahan kritis, termasuk API berisiko tinggi yang dipanggil dan taktik yang diamati.

Dengan menggali lebih dalam, Anda dapat melihat detail tentang aktor yang bertanggung jawab. Informasi ini mencakup bagaimana pengguna terhubung dan melakukan tindakan ini, termasuk lokasi jaringan. Konteks tambahan ini membantu Anda lebih memahami cakupan dan sifat penuh dari insiden tersebut, yang sangat penting untuk penyelidikan dan respons. Anda dapat mengikuti rekomendasi perbaikan yang bersifat preskriptif berdasarkan praktik terbaik AWS, yang memberikan wawasan yang dapat ditindaklanjuti untuk segera menangani dan menyelesaikan deteksi yang teridentifikasi. Rekomendasi yang disesuaikan ini membantu Anda meningkatkan postur keamanan cloud Anda dan memastikan keselarasan dengan pedoman keamanan.

Tab Sinyal dapat diurutkan berdasarkan yang terbaru atau yang terlama. Jika Anda merespons serangan aktif, Anda sebaiknya mulai dengan sinyal terbaru untuk dengan cepat memahami dan mengurangi situasi tersebut. Untuk tinjauan pasca-insiden, Anda dapat melacak kembali dari aktivitas awal. Menyelami setiap aktivitas memberikan informasi detail tentang temuan spesifik. Kami juga menawarkan tampilan cepat melalui Indikator, Aktor, dan Endpoint untuk merangkum apa yang terjadi dan siapa yang melakukan tindakan.

Cara lain untuk mengikuti detailnya adalah dengan mengakses tab Sumber Daya, di mana Anda dapat memeriksa berbagai bucket yang terlibat dan kunci akses. Untuk setiap sumber daya, Anda dapat memeriksa taktik dan teknik apa yang terjadi. Pilih sumber daya yang terbuka untuk langsung beralih ke konsol yang relevan dan mempelajari detail lebih lanjut.

Kami telah memperkenalkan tampilan halaman penuh untuk temuan GuardDuty, yang memudahkan Anda untuk melihat semua data kontekstual dalam satu tempat. Namun, halaman temuan tradisional dengan panel samping masih tersedia jika Anda lebih suka tata letak tersebut, yang memberikan tampilan cepat tentang detail untuk temuan tertentu.

GuardDuty Extended Threat Detection secara otomatis diaktifkan untuk semua akun GuardDuty di suatu Wilayah, menggunakan sumber data dasar tanpa memerlukan rencana perlindungan tambahan. Mengaktifkan rencana perlindungan tambahan memperluas jangkauan sinyal keamanan yang dianalisis, meningkatkan kemampuan layanan ini untuk mengidentifikasi urutan serangan yang kompleks. GuardDuty secara khusus merekomendasikan untuk mengaktifkan S3 Protection guna mendeteksi potensi kompromi data di bucket Amazon S3. Tanpa S3 Protection yang diaktifkan, GuardDuty tidak dapat menghasilkan temuan khusus S3 atau mengidentifikasi urutan serangan yang melibatkan sumber daya S3, yang membatasi kapasitasnya untuk mendeteksi skenario kompromi data di lingkungan Amazon S3 Anda.

GuardDuty Extended Threat Detection terintegrasi dengan alur kerja GuardDuty yang ada, termasuk AWS Security Hub, Amazon EventBridge, dan sistem manajemen acara keamanan pihak ketiga.

Sekarang Tersedia

Amazon GuardDuty Extended Threat Detection secara signifikan meningkatkan keamanan cloud dengan mengotomatiskan analisis urutan serangan yang kompleks dan memberikan wawasan yang dapat ditindaklanjuti, membantu Anda fokus untuk menangani ancaman yang paling kritis secara efisien, serta mengurangi waktu dan upaya yang diperlukan untuk analisis manual.

Kemampuan ini secara otomatis diaktifkan untuk semua pelanggan baru dan yang sudah ada di GuardDuty tanpa biaya tambahan di semua AWS Regions komersial tempat GuardDuty didukung.

Untuk mempelajari lebih lanjut dan mulai memanfaatkan kemampuan baru ini, kunjungi dokumentasi Amazon GuardDuty.