关键字: [reInforce, Amazon Detective, Credential Exfiltration, Vulnerability Exploitation, Ec2 Instance Metadata, Configuration Misconfiguration, Generative Ai Investigations]

本文字数: 1100, 阅读完需: 6 分钟

导读

在这个演讲中,Anna Macbe探讨了Amazon Detective如何通过关联来自各种亚马逊云科技安全服务(如Amazon GuardDuty、Amazon Inspector和亚马逊云科技Security Hub)的发现结果,从而支持安全调查。她解释说,Detective构建了一个图形数据库,将相关的安全事件连接起来,让分析师能够了解事件的根本原因。该演讲着重介绍了Detective如何利用生成式人工智能总结关键细节,从而实现高效调查,减少分析日志和警报所花费的时间。它还强调了亚马逊云科技在安全运营领域投资生成式人工智能,旨在简化任务、增强专业知识并降低运营成本。

演讲精华

以下是小编为您整理的本次演讲的精华，共800字，阅读时间大约是4分钟。

亚马逊云科技安全专家安娜·麦克比介绍了自己,并概述了她的三个主要工作重点:事件响应(她撰写了事件响应白皮书)、为金融服务客户提供安全服务,帮助他们加强安全态势,以及生成式人工智能(Generative AI)安全,她在这一领域一直引领着众多内部计划。

随后,安娜介绍了亚马逊云科技的检测和响应服务套件。她强调,在许多调查中,起点都是Amazon GuardDuty,这是一项能够检测各种威胁的服务,如凭证被盗、加密货币挖矿活动以及其他恶意行为,这些威胁发生在亚马逊云科技环境中。与GuardDuty互补的是Amazon Inspector,它专注于漏洞扫描,是亚马逊云科技基础设施的专用漏洞扫描器。

安娜解释说,这些服务的发现结果会汇总到亚马逊云科技安全中心(Security Hub),这是一个集中式平台,用于汇总安全发现结果。之后,Amazon Detective可以让用户分析这些发现结果,并通过构建图形数据库来揭示事件的根本原因,该数据库能够巧妙地连接和上下文化从各种日志源(包括CloudTrail、EKS、VPC Flow日志、GuardDuty发现结果和安全中心发现结果)收集的信息。

安娜强调创建Amazon Detective背后的动机,阐明了客户所面临的挑战,例如收到成千上万个高风险或关键警报。加剧这一困境的是,熟悉组织内使用的各种技术(包括分析Windows事件日志、云日志,现在还有生成式AI日志)的安全专业人员极为缺乏。此外,安全信息和事件管理(SIEM)解决方案的成本和复杂性也构成了重大障碍,许多公司的SIEM解决方案花费高昂。

为了阐明Detective中的调查过程,Anna通过一个涉及高优先级GuardDuty发现的示例场景进行了演示,该发现与凭证外泄和EC2实例上的服务器端请求伪造(SSRF)漏洞相关。这一特定发现表明,EC2实例可能存在SSRF漏洞并已被入侵,凭证已被外泄。Detective巧妙地将来自Amazon Inspector(用于发现漏洞)、Security Hub(提供资源配置信息,如使用不安全的EC2实例元数据服务版本1)和GuardDuty(针对活跃威胁如凭证泄露发出警报)的相关信息进行了关联,并通过导航到发现组进行展示。

随后,Anna展示了一个受真实世界Grafana漏洞启发的示例威胁场景,该场景包含了SSRF的CVE(常见漏洞和暴露)、错误配置的EC2实例元数据服务(版本1而非更安全的版本2)、GuardDuty发现的元数据重新绑定发现(表明未经授权访问了EC2实例凭证)以及两个发现,涉及外泄凭证在亚马逊云科技内外被利用。后一个发现至关重要,因为攻击者可能会在亚马逊云科技内部使用被入侵的凭证,从而绕过仅基于外部IP地址的检测。

Detective控制台展示了一个视觉吸引力强的图形数据库,映射了涉及的各种实体之间的复杂关系,如EC2实例、IP地址、VPC和GuardDuty发现。Anna强调了新引入的生成式AI功能,它能够用自然语言总结调查情况,从而使入门级分析师无需仔细筛选整个图形数据库(在某些情况下可能涉及50多个节点),就能快速掌握事件的本质。

在演示中,安娜从GuardDuty发现着手探索,GuardDuty提供了受影响的EC2实例及其相关标签的信息,包括”Grafana stack”标签,暗示Grafana应用程序可能存在漏洞。基于这一线索,她深入研究了CVE,揭示了影响EC2实例的多个漏洞。继续调查,她仔细检查了被入侵的Grafana角色,这是确定被入侵凭证的访问级别和潜在影响的关键步骤,例如修改基础设施或访问敏感数据的能力。这些信息将有助于评估事件的严重程度和潜在后果。

安娜阐述了将生成式人工智能整合到安全调查中的好处,强调它可以提高效率、节省时间,并使分析师(尤其是初级分析师)能够快速理解事件的核心。她透露亚马逊云科技正在为安全运营积极投资生成式人工智能,其总体目标是简化日常任务、增强安全专业知识,并通过自动化重复过程,可能降低整体支出。

在结束语中,安娜简要地谈到了检索增强生成(RAG)的概念,这是一种有助于将内部组织上下文纳入调查的技术,从而使分析能够借助特定领域的知识得到丰富。然而,她承认深入探讨RAG的细节超出了这次闪电演讲的范围。

下面是一些演讲现场的精彩瞬间：

在这场20分钟的闪电演讲中,演讲者将深入探讨亚马逊Detective中的一项新功能。

亚马逊Detective的调查显示,EC2实例可能存在服务器端请求伪造(SSRF)漏洞,导致凭证泄露,这是一个高优先级警报,需要立即采取行动。

亚马逊的安全服务如Amazon Inspector、Security Hub和Guard Duty协同工作,帮助发现和应对潜在的漏洞、错误配置和凭证泄露等安全风险。

在这一环节,演讲者解释了CVE(Common Vulnerabilities and Exposures)服务端请求伪造漏洞和EC2实例元数据服务版本1的安全风险。

通过查看CVE详情,可以了解EC2实例存在漏洞,并进一步分析受影响的IAM角色的权限范围,以评估潜在风险并采取相应的补救措施。

通过生成式人工智能简化安全运营中的例行任务,提高效率,节省成本,并为初级分析师提供支持。

总结

在不断演进的网络安全领域中,Amazon Detective作为一个强大的助手,利用生成式人工智能(Generative AI)的能力来提升安全调查水平。这项创新服务旨在解决组织面临的大量安全警报和缺乏熟练安全专业人员的挑战。

通过无缝整合来自CloudTrail日志、EKS日志、VPC Flow日志以及Amazon GuardDuty和Security Hub的发现结果等各种数据源,Detective构建了一个综合图形数据库。这种可视化表示使分析师能够浏览和连接分散的信息片段,揭开复杂安全事件的错综复杂。

Detective的真正力量在于利用生成式人工智能来总结复杂的调查。通过简洁而富有洞察力的总结,分析师可以快速掌握事件的本质,从而节省宝贵的时间和资源。这一功能对于入门级分析师尤为有益,使他们能够及时有效地升级关键问题。

此外,Detective与生成式人工智能的集成为进一步提升安全运营带来了希望。通过自动化日常任务、简化报告流程和增强安全专业知识,这项技术有望降低整体运营成本,同时提高各级分析师的技能水平。

随着亚马逊云科技(Amazon Web Services,亚马逊云科技)继续投资生成式人工智能,安全调查的未来正朝着变革性的转变迈进。通过诸如Retrieval Augmented Generation (RAG)等举措,Detective旨在融入组织背景,确保调查能够针对每个客户的独特需求和环境进行定制。