亚马逊云上检测和响应的创新

亚马逊云上检测和响应的创新

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， 生成式AI， Amazon Security Lake， Threat Detection， Workload Protection， Vulnerability Management， Investigation Response， Security Automation]

导读

参加本次会议，了解检测和响应领域的最新进展和近期亚马逊云科技发布的产品。本次会议重点关注实际应用场景，包括威胁检测、工作负载和数据保护、自动化和持续的漏洞管理、集中监控、持续云安全态势管理、统一安全数据管理、调查和响应，以及生成式人工智能。深入了解如何无缝集成亚马逊云科技检测和响应服务，以帮助大规模保护您的工作负载，增强安全态势，并简化整个亚马逊云科技环境中的安全运营。

演讲精华

以下是小编为您整理的本次演讲的精华。

好的，大家早上好，欢迎来到Reinvent 2024。希望您能在这里享受愉快的时光，体验Reinvent真正的学习体验。在本次会议中，我们将介绍一些在检测和响应服务方面的创新。亚马逊云科技为多种不同的用例和领域提供了广泛的原生亚马逊云科技安全服务。本次会议SCC 321专注于我们在检测和响应服务组合中推出的一些关键功能和增强功能。

我的名字是Imancin Werma。我领导着亚马逊的身份和安全专家团队，我的同事Brian Holland领导着亚马逊GuardDuty团队。我们今天的议程很简单。我们将介绍的主题包括概述我们的检测和响应服务、介绍自上次在此活动讨论这些服务以来推出的新功能和新能力，以及进行一些演示，旨在使本次会议尽可能身临其境。

我们的检测和响应服务在与客户交谈时，可以帮助解决客户希望实现的一些关键业务目标。首先也是最重要的，这些服务的主要目标是保护亚马逊云科技工作负载。所有这些服务都围绕着保护亚马逊云科技账户、工作负载，有效衡量安全风险，然后对其采取行动。我们还听到客户希望能够集中监控，以便使用一些检测服务全面监视其亚马逊云科技环境中的任何漏洞和风险。此外，我们从客户那里听到，他们希望能够轻松汇总所需的数据，以便进行调查和根本原因分析，无论是安全运营团队或客户的安全人员想要深入了解，还是安全工程团队想要编排工作流程，然后利用这些服务中的生成式AI或机器学习来解锁一些安全创新。

我们的检测和响应服务组合分为这三个关键子类别。第一个是威胁检测和工作负载保护。我们将讨论的主要服务之一是Amazon GuardDuty，它主要专注于帮助客户识别威胁、异常和可疑活动，因此我们将重点关注这一点。第二个类别是漏洞管理。我们将漏洞归类为不仅包括开源漏洞或软件和操作系统漏洞，还包括潜在风险、错误配置等。我们在这一领域帮助客户的一些服务包括Security Hub和Inspector，它们一直在创新，不仅改善了安全团队的体验，而且还改善了开发人员的体验，因为代码正在编写或容器或EC2实例正在启动。第三个类别是调查和响应。在这里，我们的重点是帮助客户编排所需的所有数据，以深入研究安全问题，有效运行查询并从这些数据中获得丰富的见解。

在深入探讨我们的服务之前，我想提供一些见解，说明亚马逊云科技如何努力使全球互联网变得更加安全。正如您所想象的那样，我们拥有大量基础设施和规模，并且随之而来的是检测和洞察全球威胁环境的能力。我们今天将讨论的一些服务实际上是由这种基础设施提供支持的，在这种基础设施中，我们收集了无与伦比的见解和遥测数据，然后使用这些丰富的见解应用机器学习、神经网络、启发式方法，并将相同的见解应用于我们自己的服务中。

我们以前听过这句话:“并非所有云都是一样的”，而在云安全方面，这也是我们热衷于投资的另一个领域。我们在全球基础设施中进行的第一项关键投资是围绕威胁情报。正如您所想象的那样，我们努力构建一个域的神经图网络。我们看到了大量来自互联网的恶意流量进入亚马逊，这就是我们应用一些机器学习和人工智能的地方，以确保我们正在查看的域实际上是恶意或不良的，然后我们可以将这些信息反馈到我们的一些服务中。这需要检查每天数万亿次DNS请求，然后发现大量恶意域，并将其反馈到我们的服务中，如GuardDuty在检测威胁方面。

我们还在整个互联网上部署了广泛的传感器基础设施，这些传感器正在收集大量数据，并且还在欺骗坏人发送信息。我们看到过一些情况，只要在亚马逊云科技中启动了资源，大约90秒后，我们就开始看到对这些资源的探测和攻击。因此，这些传感器实际上正在吸引这些坏人，然后我们正在收集所有这些信息，并将其反馈到我们的服务中，如GuardDuty、Inspector、Web应用程序防火墙，最后，我们不仅进行检测，而且还专注于威胁中断或自动化威胁中断。发生的情况是，当我们收集所有这些威胁情报并创建这个神经网络来实际消除对恶意域和恶意IP地址的误报时，我们还自动确保客户的工作负载免受僵尸网络或加密挖矿或加密劫持的影响。像Amazon S3这样的服务或像Amazon VPC这样的服务以及我们的原生安全服务都在使用这些同样投资于亚马逊云科技整体基础设施的技术。这再次都是为了确保并努力使全球互联网整体上对所有客户来说都是一个更加安全的环境。

现在，当我们进入我们的检测和响应服务组合的具体服务时，这是我们的六项主要服务。首先也是最重要的，所有这些服务都与您的亚马逊云科技账户原生集成，这意味着它们在保护您的账户和工作负载时不需要任何操作或编排。此外，大多数时候，我告诉客户，有一种误解认为，由于这些是检测工具，因此需要遥测数据，因此客户必须启用日志。这是另一个关键因素，即这些工具都不需要启用任何日志或API操作。客户所需要做的就是在账户级别启用这些服务，然后它们将自动开始保护和检测发现结果，并提供见解。

核心服务之一是Amazon GuardDuty，它专注于监控来自流日志的日志活动、来自CloudTrail的API活动，现在还监控使用运行时保护的主机活动，然后提供发现结果，我们在其中看到与恶意IP地址、恶意URL、我之前提到的威胁情报或异常或可疑发现相匹配的情况，并向客户提供见解。

Amazon Macie是我们的主要服务，专注于为客户提供与敏感数据相关的敏感性或风险的丰富见解。您可以使用Macie获取见解;它与Amazon S3和Amazon S3中的对象原生集成，以了解您的一些敏感对象、敏感数据在哪里，以及您的存储桶中的所有对象在账户级别或组织级别上的当前风险是什么。

Amazon Inspector是我们专注于漏洞管理的服务。多年来，我们已经将该服务扩展到现在可以扫描多种不同的亚马逊云科技工作负载以查找漏洞，它还会摄取大量漏洞数据库的遥测数据，然后利用这些数据为客户提供这些发现结果的见解。

所有这些服务都会提供发现结果，这与日志或API不同。这些发现结果是EventBridge中可用的JSON对象。从那里，客户可以将这些发现结果流式传输到他们的集中式安全运营工具，如SIEM工具或SOAR工具。此外，我们还将所有这些发现结果及其丰富的见解汇总到Security Hub中。Security Hub是我们的集中监控工具，因此，它首先允许客户将所有发现结果汇总到一个位置，不仅包括来自亚马逊云科技原生安全服务的发现结果，还包括来自我们合作伙伴工具的发现结果。但更重要的是，它执行云安全态势管理，这意味着它会根据我们内部构建的一组标准或亚马逊云科技基础安全最佳实践或外部标准(如NIST或CIS基准等)持续评估您的亚马逊云科技账户和工作负载中的控制措施。与安全最佳实践的任何偏差或错误配置也将作为发现结果报告在Security Hub中，因此它为您提供了一个集中的位置，可以在那里编排自动化响应操作和/或采取补救措施。

Amazon Detective是我们专注于构建图形数据库的服务，以帮助客户关联Security Hub中所有发现结果的见解。因此，如果您想知道某个实体或节点(如实例)是什么，以及针对该实例的所有不同攻击向量是什么，Detective就是您可以进入并探索该图形数据库的地方，既可以进行可视化，也可以查看所有详细的API调用，再次，所有这些都无需实际启用日志或自己解析日志。

最后，多年来，我们推出了一项名为Amazon Security Lake的新服务，帮助客户管理所需的各种日志。我们确实认识到，安全团队有时需要组织日志进行深入分析和运行查询，用于安全工程目的或安全分析，这就是Security Lake的用武之地。Security Lake帮助客户轻松组织和集中所有数据，无需创建这些日志的多个副本或失去对合作伙伴工具或第三方工具中这些日志的访问权限，并且还为您提供了创新和获取未来技术的能力，例如在这些日志之上构建自己的生成式人工智能能力。

在介绍这些服务时，我们将深入探讨每一项服务的细节以及我们推出的一些新功能和新能力。除了原生集成外，这些服务提供的另一个关键价值主张是，它们都与Amazon Organizations原生集成，帮助您大规模部署这些服务，并自动化部分流程。每一项服务都与Amazon Organizations集成，允许安全团队指定或委派一个集中管理账户，这样您不仅可以轻松地将这些服务的所有发现结果聚合到该安全账户中，而且还可以自动为加入组织的新成员账户启用这些服务，并且您还可以轻松地从该集中委派的管理账户中启用和注销成员账户。

让我快速演示一下这是如何工作的。这是GuardDuty控制台的屏幕截图，我们在检测和响应领域的每一项服务都有这个账户选项卡。集中管理账户可以在此处委派管理员账户，一旦完成，每个成员账户都可以有类似的选项。我们使这个超级简单的一键式选项，就像您可以看到的那样，当我们扩展GuardDuty的保护计划时，您很快就会听到，有一个简单的选项可以为您当前的账户以及您加入的新账户启用所有这些功能，这样作为一个安全团队，您就可以轻松地为新账户启用这些功能。此外，您也可以选择是否要为新账户自动启用它们，或者您想进入并选择特定账户并启用它们。因此，这些都是可用的一键式选项，您可以轻松选择单个功能或GuardDuty等服务中提供的所有功能。

此外，所有这些都附带免费试用。我们确保所有这些功能和服务都附带免费试用，因此客户可以进行试用。客户喜欢或热爱的另一件事是，我们有一个使用情况选项卡，可让您了解在一段时间内使用该服务的潜在成本影响，您也可以在免费试用期内获得这一见解。

回到正题，我将把话筒交给Brian，由他介绍本次会议的威胁检测和工作负载保护部分。非常感谢Imancin。因此，正如Imancin所提到的，威胁检测和工作负载保护部分是Amazon GuardDuty。这是我们提供威胁检测的服务，从高层次来看，GuardDuty是一种威胁检测服务，它使用多种不同的检测技术来识别您账户中凭证或工作负载可能遭到入侵的情况。我们不仅关注账户本身，还关注您正在运行的工作负载，以识别可疑活动，如比特币挖矿或与命令和控制服务器的连接或其他工作负载入侵指示，以及在控制平面上发生的可疑活动，如CloudTrail。

为了更深入地了解其工作原理，并给出一个关于我们如何多年来扩展这项服务的概念，当我们在2017年的亚马逊云科技 re:Invent大会上推出GuardDuty时，我们拥有您在顶部看到的基础数据源，GuardDuty主要作用于日志数据。正如Imancin所提到的，我们的一个关键优势是您不必配置或启用任何这些日志源。一旦您打开GuardDuty，我们就会从内部后端源获取这些日志数据，因此您不必进行配置，这在管理开销方面很好，但它也有一些安全影响，如果有人在您的账户中获得立足点，他们无法中断我们对这些数据的访问，这也意味着您不会忘记启用某些功能。因此，这些基础数据源对所有客户都是默认启用的。这些是流量日志、DNS查询日志和CloudTrail，它们为我们提供了对您账户中实例的网络活动以及API控制平面上活动的广泛可见性。

然后，多年来，我们扩展了这一点，并添加了其他可选的保护计划，这些计划为亚马逊云科技的其他部分提供了保护，我将在稍后介绍其他服务，但无论哪个保护计划提供了源，我们首先要做的是通过多个不同的分析引擎处理这些日志。我们以无状态的方式、基于规则的方式来查看这些内容，但我们也有先进的机器学习模型，可以跨这些不同的数据源寻找异常活动，例如在CloudTrail中寻找来自异常位置的用户登录或执行该用户或您账户中其他用户的异常活动。

在这些ML模型上，我们真正努力做到的一件事是识别可疑和可能是恶意的活动，对吗?并非所有异常都是恶意的，但我们试图以这种方式来查看和调整这些模型，使我们能够识别更有可能是活跃威胁的内容，这些模型的另一个不错之处在于，我们试图使接收这些发现的人更容易理解我们为什么认为它们是异常的。我们现在的新模型将包括我们通常期望看到的信息，以及为什么我们认为我们看到的与之不同，以帮助第一个事件响应人员或获得此发现的帮助人员理解我们看到的异常之处以及为什么会被标记为异常。

我们还利用威胁情报，我们拥有Imancin提到的第一手威胁情报，我们的DNS图数据库为我们提供了大量真正可操作和最新的恶意域名。我们每天识别的10多万个新域名通常不会出现在第三方威胁列表中。我们还结合了合作伙伴的威胁列表，例如与CrowdStrike和Proofpoint合作以获取第三方威胁情报，如果您有自己的威胁情报，客户也可以自行引入。

这些检测引擎的输出是安全发现，我们试图用尽可能多的元数据或上下文来装饰这些发现，以使它们更具可操作性，然后我们将它们发送到控制台，但更多情况下，客户会使用EventBridge来获取这些发现，这将允许您触发下游自动化或工单或执行响应操作，它们也可在Security Hub和Amazon Detective中使用，以进行进一步调查，然后我们有大量Amazon合作伙伴网络工具也可以收集和帮助客户对GuardDuty发现做出响应。

我们在过去几年中添加的另一个响应选项是恶意软件保护。使用恶意软件保护，我们已经确定了一组发现，如果存在恶意软件，这些发现更有可能发生，因此，如果这些发现之一发生在您启用了恶意软件保护的EC2实例上，我们将对卷进行快照、离线运行恶意软件扫描，然后报告在其上检测到的任何恶意软件，这样可以帮助您将网络活动与实例通信到命令和控制或比特币服务器联系起来，当您运行恶意软件扫描时，您将获得文件路径、哈希值和恶意软件名称以及它所在的位置，从而加快响应时间。

我想快速概述一下我们多年来添加的一些其他工作负载保护措施。我们添加的第一个是S3保护，它为GuardDuty提供了对数据平面事件的可见性，因此在CloudTrail管理事件中，我们将看到S3管理事件，但这些是数据平面事件，如获取、列出和放置对象，同样，您不必在S3存储桶上启用此功能。一旦您启用它，我们就会获得对您账户中所有S3数据事件的可见性，并开始寻找异常活动。这是否是一个我们通常只看到主体写入的存储桶，而突然它正在大量读取数据?或者我们是否看到了来自其他因素的异常活动，如访问位置或它突然访问了大量通常不会访问的存储桶?

我们还增加了EKS保护，因此EKS保护在某种程度上与CloudTrail非常相似。在Kubernetes中，您有一个Kubernetes控制器，并且通过EKS，它会生成审计日志，这些审计日志是访问EKS控制平面的审计日志。我们有机器学习模型来寻找异常活动，例如创建特权容器或创建异常角色绑定等情况，这些可能表明凭证可能已被入侵，并被用于影响您的Kubernetes工作流程。

我已经讨论了EC2的恶意软件，但在今年的Reinvent上，我们也将其扩展到了S3。通过S3的恶意软件保护，您可以在选定的存储桶上启用此功能，如果您在选定的存储桶上启用了此功能，每次向该存储桶写入对象时，我们都会自动收到通知，执行恶意软件扫描，然后向您发送检测结果。我们还会将其发送到CloudWatch，但更常用的功能之一是我们也可以对该对象进行标记。这允许您拥有数据摄取管道。如果您正在通过Web门户或第三方上传数据收集客户数据，它们会落入您的存储桶，将由GuardDuty进行扫描，扫描结果将作为标记应用，然后您可以让数据摄取工作流等待该标记存在，并且只接受被视为无威胁的对象。

RDS保护会查找登录到您的RDS数据库本身的异常情况，即实际连接到RDS数据库，查找从异常位置登录或登录到异常数据库的人。我们还针对暴力尝试进行了检测，即人们正在暴力尝试RDS登录，我们还有Lambda保护，它将我们的流日志检测扩展到了Lambda函数，这适用于在VPC网络和标准网络中运行的Lambda函数。如果您的Lambda函数突然开始(可能是由于其中包含了已被入侵的库)，并开始连接到C2或加密服务器，我们也将能够识别出来。

最近的一个扩展是运行时监控，因此我们进入了运行时监控，以便获得对客户操作系统内部活动的更深入的可见性，并为我们提供比传统日志源更多的遥测数据。但是，在这样做时，我们希望以真正保持GuardDuty一键启用的方式来实现。我们构建了一个基于eBPF的非常轻量级的代理，该代理本身实际上是一个遥测收集器。因此，当您启用运行时保护时，我们将使用EKS托管加载项自动为您的账户中的EKS节点部署代理。对于Fargate，我们直接从Fargate端注入它，因此您不需要对任务定义进行任何更改。我们为它将需要的VPC端点创建，这些代理将遥测数据流式传输到我们的后端，在那里我们应用所有内容和用于检测的逻辑。这还使我们能够对事件流进行检测，不仅查找单个命令，而且查找单独可能无害的命令，但在与我们看到操作员执行的其他未来命令相结合时，变成更可疑的活动，我们还将继续为运行时保护添加新的和更多的检测。

我们刚刚发布的最新功能是我们所谓的扩展威胁检测，它将我们的检测从查看单个或短时间内的一批事件来识别单个发现扩展到更多地查看不仅仅是发现组，还包括跨数据源的发现以及我们拥有的其他可能不会单独生成发现但在与其他一些数据相结合时非常有用的信号。这里的想法是，当发生凭证入侵时，通常不只是一两三个单独事件。实际上是一串事件，它们通常遵循MITRE攻击模式，这也是我们将大量内容映射到MITRE攻击的原因之一。随着时间的推移，我们可以获得足够的信心来说，这些不仅仅是单独可疑的事件本身，而是综合考虑，我们现在相信这里使用的凭证很可能已被入侵，因此我们将为此生成一种全新类型的发现。

这种方式的一个好处是它默认开启，因此如果您已经在使用GuardDuty，您已经启用了此功能。它也不收费，因此无需启用或配置任何内容。如果您已经在使用GuardDuty或开始使用GuardDuty，您将自动能够获得这些发现。我们在这里增加的安全价值是，正如我所说，不仅仅是查看我们已经给您的发现。我们还为这些发现添加了一些额外的标记和上下文，这些标记和上下文将输入到我们开发的机器学习模型中，该模型可以根据我们提供的所有上下文预测是否达到决定凭证可能已被入侵的阈值。

除了我们正在审查与该特定凭证相关的发现类型之外，我们还在查看与网络本身相关的其他标记。它是否来自我们的威胁情报告诉我们正在看到威胁参与者活动的VPN提供商?世界上有一些不存储日志、接受加密货币支付的VPN提供商，比其他提供商更受到威胁参与者的欢迎，因此我们会查看这样的情况。它是否与Tor有关?我们有一堆标记会输入到这个模型中，除了我们已经为该凭证生成了一些异常活动发现之外，还会添加额外的上下文，这将使我们能够说:“嘿，你知道，我们现在认为这可能是一个已被入侵的凭证”，我们会在控制台中显示这一点，我将在一分钟内向您展示我们对控制台进行的改进，以使操作员能够轻松消费和响应这些发现，但如果您通过我之前提到的任何其他方法使用我们的发现，它将呈现为一种新的发现类型。

关于这种发现，我要说的是:当我们推出GuardDuty时，我们的发现有严重性等级，低、中和高，它们在1到8之间映射。我们一直说我们保留9和10，以便当我们想出我们认为值得称为关键的检测时使用，因此这些新发现的严重性为9，它们也将带有关键标记。与之相关的有两种发现类型，主要区别在于我们看到更多的是哪种类型的活动?正如我所提到的，如果您入侵了凭证，我们会将一组API调用归类为高风险，我们倾向于看到威胁参与者试图利用这些API调用，例如创建新用户或创建新访问密钥、建立持久性，另一方面，如果您启用了S3数据保护，我们还会跨S3数据平面事件进行关联，以检测诸如勒索软件或数据渗透之类的情况。根据哪一种更为普遍，我们将给出“已入侵凭证”或“已入侵数据”(如果我们看到这主要是一种以数据为中心的攻击)。

然后，我将在控制台中向您展示的发现，我们添加了大量丰富的上下文，并将这些发现映射到了MITRE攻击，不仅包括战术，还包括技术，它们还包括一个人性化的自然语言摘要，位于顶部，为第一响应人员提供了对发生了什么、何时发生、涉及哪些内容以及为什么我们认为这是值得引起您注意的事情的清晰理解，以及参与攻击的所有资源。

好的，如您所见，这是加载GuardDuty时获得的新改进的摘要页面。我们在这个发现框中添加的一件事是我们所谓的“顶级威胁”，因此这些只是您组织中优先级最高的威胁，然后您还可以说:“我只想看到这些攻击序列。”如果您单击此处的“序列”标记，它将带您进入标准发现页面并过滤这些发现，如您所见，我这里有一个“已入侵凭证”检测，它有8个不同的相关资源。这个只有2个不同的相关资源，以及多个不同的信号。如果我单击“查看详情”，它还会展开这个内容，这使得查看变得更加容易。

在左侧，您将获得人类可读的自然语言解释，说明我们看到了什么，有多少指标，涉及了多少资源，以及MITRE攻击策略和我们看到的不同技术，还有一个可视化映射，您可以点击查看与该MITRE技术和策略相关的不同发现，然后您可以看到我们看到的不同指标。在这种情况下，有4个不同的指标，包括高风险API、不同的策略、可疑的使用代理(在本例中)、参与者和端点，以及一个很好的时间线，为您提供了攻击开始和结束时间的可视化表示，这可能持续数小时或数天。如果攻击序列继续，如果我们看到进一步活动升级为权限提升，例如，它将被更新到这个现有发现中，我们将在时间线上显示发生的进一步行动。

您还可以看到涉及的资源，在这种情况下，您可以看到有2个资源，这个实例参与其中是因为我使用了实例角色来生成这个攻击序列，所以实例角色参与了，因此这个实例实际上也被牵连，以及与该角色相关的访问密钥。

如果我现在查看S3的一个，在这种情况下，它将有些相似，但在这种情况下，我们的模型更感兴趣的是有大量敏感的API涉及S3以及其他异常活动。对吗?所以再次，您获得了人类可读的解释、很好的时间线显示了事情何时开始和结束，以及资源，在这种情况下，现在将包括其他内容，如我们看到恶意活动发生的S3存储桶，以及生成创建发现的角色的实例、访问密钥和其他存储桶。

我将把接下来的部分交给Imancin。谢谢Brian。正如Brian所提到的，您知道，您在演示中看到的大量信息都可以在JSON事件中获得。我们有很多客户利用工具，他们不仅从亚马逊云科技检测工具中获取发现，而且还从其他云提供商那里获取发现，这些发现可用于丰富您可能正在聚合或所有这些发现的信号。

我之前提到的第二个支柱是漏洞管理。进入这一部分，我们的主要服务之一是Amazon Inspector。通过GuardDuty，您看到GuardDuty如何利用机器学习并为客户带来丰富的见解，这与威胁以及可疑或异常活动有关。Amazon Inspector专注于为客户提供对他们的软件材料清单的可见性，这意味着在您的账户中，所有实例、容器映像、Lambda函数等都在哪里，然后还保留了该材料清单的快照，并为客户提供扫描这些工作负载以发现任何开放漏洞的能力。

我们还努力使Amazon Inspector与左移思维保持一致，这有助于开发人员从一开始就编写安全代码。Amazon CodeGuru是我们的AI/ML驱动工具，可帮助开发人员编写代码，它还使用Inspector API进行漏洞管理，当编写代码时，它们还可以向开发人员推荐他们正在调用的开源库可能存在漏洞，然后他们应该查看推荐的代码行来替换并修复漏洞。

Inspector再次专注于一键启用的同一领域，但在过去几个月中，我们扩展了Inspector的功能。首先，正如我所提到的，当在组织级别启用Inspector时，材料清单是可用的。它会快速引入支持的所有资源的快照。此外，在一段时间内，我们已经增强了Inspector的早期版本。Inspector是我们在GuardDuty之前推出的最早的本地安全服务之一，但当我们推出该服务时，它需要自己的专有代理来扫描EC2实例。现在我们已经扩展了这一点，并消除了这种阻力，它现在支持EC2的无代理扫描，这是较新版本的Amazon Inspector中可用的功能。

此外，我们还让客户能够扫描容器工作负载，特别是ECR容器注册表，您可以选择对这些容器映像或事件进行持续扫描或仅在推送时进行扫描。它不仅可以进行操作系统级别的扫描，还可以进行基于语言的扫描，因此如果您使用任何脚本语言，它也可以识别这些语言中的漏洞。我们还引入了CIS扫描或按需CIS扫描，这是可以用来比较发现中报告的漏洞的CIS基准。

一段时间后，客户要求我们不仅能够在他们推送代码到代码存储库时进行反应式扫描，还能够主动扫描，或为他们提供与代码存储库集成的API或插件。我们提供了CI/CD映像扫描插件，开发人员可以使用这些插件在将代码推送到代码存储库时轻松扫描漏洞。

我们在这里做出的一些关键增强是现在利用生成式AI来自动化和操作化我们的安全服务。我们增强了Inspector中的Lambda代码扫描，不仅在报告发现时告诉客户我们认为漏洞所在的代码行是什么，而且还通过提供AI驱动的代码行来推荐该漏洞的潜在修复方法，这些代码行可用于轻松修复该漏洞。当安全团队将该发现发送到工单流程或发送回应用程序团队时，通常您可以包含推荐的代码行供开发团队使用。

让我快速向您展示一下Inspector的工作方式，正如我之前提到的，您将在我们所有服务中看到相同的内容，即账户以及可以在组织级别启用的使用情况，但一旦在几分钟内启用了Inspector，它就会带来所有这些库存。

客户赞赏的一个关键因素是环境覆盖图，它告诉您在组织中有多少账户启用了该服务，以及有多少实例、容器映像和Lambda函数受到Inspector漏洞管理的覆盖。我们还为您提供了基于风险的修复视图，例如，我们在哪些软件包中看到了大多数漏洞，以便您可以轻松确定需要采取行动的映像或容器存储库。这是我们还将为您提供具有最严重发现的一些账户的地方，以便您可以轻松采取行动。

Inspector还提供的一个关键功能不仅是提供与我们维护的CVE或NVD数据库匹配的漏洞，我们通过从约40个不同资源收集信号，还有一种发现类型对客户非常有用，称为网络可达性发现类型。如果我查看发现类型并查看网络可达性而不是软件包和代码漏洞，它现在告诉您这些是可以访问网络的受影响资源，它还为您提供了它们所采取的路径或可以修复的开放网络路径。这再次与漏洞的严重性相结合，以提高Inspector发现评分并为您提供更丰富的见解，以便您可以轻松采取行动解决这些高优先级项目。

您可以导出常见格式(如CycloneDX或SPDX)的软件材料清单，还可以将这些自动导出到S3存储桶，以便您可以创建时间快照，因此可以比较在何时由哪个应用程序或业务团队启动的资源，并使用一些资源标记，您还可以找出在软件材料清单中发现最多漏洞的位置。

接下来，我想强调的是我们的集中监控和云状态评估服务Amazon Security Hub。来自GuardDuty、Inspector的所有发现将自动进入Security Hub，但Security Hub还专注于评估您的亚马逊云科技账户和工作负载中的控制措施。随着您的亚马逊云科技账户增长以及您的应用程序团队和业务团队启动新的工作负载，Security Hub正在自动评估这些控制措施，并将它们与安全最佳实践进行匹配。

正如我之前提及的，已经内置了标准，这些标准将控制措施分类，为安全团队提供了一个简单的汇总视图，例如针对该标准的风险评分。亚马逊云科技基础安全最佳实践是一个内部标准，它将200多个这样的控制措施进行了分组，并且还在不断增加，我们为客户提供了与潜在错误配置相关的错误配置或发现结果。我们还添加了外部标准，如NIST、PCI DSS和CIS基准，其中包括这些重要的控制措施，以及与这些控制最佳实践偏离的发现结果。

正如我提到的，您还可以引入来自您可能正在使用的合作伙伴工具的发现结果，如终端检测或EDR工具以及网络防火墙等。您也可以将这些发现结果全部引入Security Hub。这些发现集成然后允许客户自动化响应和补救操作。在我们的解决方案库中最受欢迎的亚马逊云科技解决方案之一是Security Hub自动化响应运行手册，这本质上是一个运行手册，客户可以轻松上传和/或创建自己的自定义CloudWatch操作，然后采取多种不同的响应操作。

Security Hub不仅集成了发现的引入方面，还集成了客户希望下游执行的操作。我们认识到，大多数安全团队都希望自动化工作流更加简单，例如与Jira或ServiceNow等工单工具或打开Slack工单，因此所有这些集成都在Security Hub中原生提供，以自动化这些工作流并简化下游操作。

客户询问了一些功能，例如Security Hub的中央配置，这是最近宣布的一项功能，现在可在组织级别开箱即用。再次强调，Security Hub是一项可与Amazon Organizations集成以实现多账户管理的服务，但客户需要一个中央配置位置，以便他们可以将该配置应用于所有账户或账户组，并维护该风险状态或策略。这在Security Hub中现已推出。

再次在“账户”选项卡中，您可以轻松地简化和简化您希望如何设置和管理Security Hub，方法是创建并应用这些安全策略，无论是针对一组账户(可能是您的开发人员账户)还是针对具有不同风险和状态评估要求的业务团队。

我们现在在Security Hub中宣布的另一个关键要求是能够配置这些控制参数，这是Security Hub控制的客户定义输入。正如我所提到的，Security Hub内置了控制措施，随着我们推出新的工作负载(如Amazon Bedrock)，我们将继续添加越来越多的控制措施。如果您的应用程序团队希望利用Bedrock的生成式AI或基础模型，但他们希望了解围绕该模型的安全状态控制措施，这些就是我们将继续添加和增强的一些新控制措施。

然而，情况往往是客户需要根据他们的环境或亚马逊云科技工作负载的编排方式自定义这些控制措施。有时，您知道，即使控制措施中的端口也可能需要自定义，因此您可能不使用端口22，而是使用端口47或67，因此您现在可以在Security Hub中编辑这些条件，然后跨所有账户部署它们。这是Security Hub中现已推出的另一项新功能。

转到第三类，即调查和响应，我认为我已经强调了我们如何利用机器学习来支持一些安全服务，我们如何开始在本地安全服务中使用生成式AI，但我们也希望强调我们如何让客户能够在我们的一些服务中利用AI。

调查和响应中的第一项服务是Amazon Detective。启用Amazon Detective后，它会自动开始从原始日志以及来自Security Hub的发现结果的遥测数据中收集大量数据，并维护大约一年的时间，然后自动创建一个图形数据库。图形数据库本质上是我们在资源之间看到的所有不同公共实体和接触点之间的关联，这可能涉及实例或工作负载。如果GuardDuty告诉您某个实例存在可能的威胁，或者我们在某个实例上看到了恶意IP或加密命令类型的活动，那么您可能希望知道该威胁从何处发起，或者它在您的亚马逊云科技环境中已经存在多长时间。

Detective使用机器学习并在您的账户中创建网络活动和API活动的基线，然后还提供了我们在这些API或网络活动的使用中看到异常的位置。使用该基线并将其与基线进行比较，您可以轻松遍历并打开导致该异常偏离基线的所有操作的图形，您可以一直深入到API操作。

由于它引入了大量这种丰富的信息，我们还希望为客户提供一个可视化视图，以便他们可以轻松查看攻击路径或可视化图形数据库，您可以在其中轻松遍历、打开IAM角色或担任的角色等内容，如果您是一名安全工程师或安全运营人员手动运行查询，这是非常困难的，还可以查看围绕S3等中的数据平面事件的所有put和get操作。这就是图形可视化的用武之地。

我们在Detective中使用生成式AI所做的一个关键增强是不仅提供了这个可视化图形，而且当我们围绕一个资源或实体对多个发现结果进行分组时，我们还可以提供一些您应该关注的关键事项的摘要，这个发现组摘要现在由Detective中的生成式AI原生支持，您可以轻松看到用人性化语言告诉安全团队他们需要解决和优先处理的资源和攻击向量。

多年来，我们从客户那里听到的一个关键要求是，他们还希望有一种简单的方式来汇总他们的日志信息。这是一个从客户需求出发的项目，客户表示他们不仅需要轻松汇总这些信息，而且还希望真正优化为安全团队收集所有日志而产生的成本。当我们问他们目前的做法时，他们要么会直接将这些日志流式传输到合作伙伴工具，要么会创建这些日志的多个副本，无论是由一个安全团队还是多个团队，有时还包括需要这些日志的业务团队。

两年前，我们推出了一项服务，该服务获得了大量采用，并且一直获得客户的积极评价，这就是Amazon Security Lake。Security Lake的工作方式是，只需点击几下启用该服务，回答一些问题，例如您希望为哪些账户启用该服务、您希望在哪些区域启用该服务，以及您希望如何按区域或账户汇总数据，以及您希望从亚马逊云科技引入哪些数据源。Security Lake一旦启用，几分钟后就会自动将所有数据集中并集中在您自己的S3存储桶中，使用Amazon Lake Formation在后端，并使用Apache Parquet格式编排所有这些数据，并根据现在所知的开放网络安全架构框架(OCSF)对其进行规范化。

OCSF是我们与行业中的一些其他合作伙伴一起发起的一个开源倡议，在过去两年中获得了大量采用。这是我们在两年半前的re:Invent上宣布的，但现在已经更新到了更新版本，我们看到越来越多的独立软件供应商，无论是从安全方面还是从安全分析方面，都在积极参与其中，因为它是一个开源架构框架。您的应用程序和自定义日志也可以转换为相同的架构格式，这样做的目的是允许安全团队现在可以轻松查询这些日志，并在将这些日志发送到SIEM或SOAR等合作伙伴工具时获得高性能。

正如我所提到的，这不需要对亚马逊云科技日志源进行任何ETL或转换。Security Lake提供的另一个关键价值是，您不仅可以引入亚马逊云科技日志源的日志而无需实际为这些日志的引入付费，而且还可以引入您可能正在使用的其他企业应用程序的所有其他日志，以及您可能拥有的本地源或其他云提供商的日志，所有这些日志都可以规范化并转换为该标准格式。

在Security Lake中有两个构造。一个是我们所称的数据源，即信息进入Security Lake的方式。您在顶部看到的是不断增长的亚马逊云科技日志源列表，我们计划最终支持将所有亚马逊云科技日志源纳入这个湖中，以便客户可以轻松地在一个地方利用所有日志。您还可以看到不断增长的合作伙伴源列表，显然这不是完整列表 - 完整列表可在文档中找到 - 但这是您可能正在使用的所有企业应用程序，或者您可以使用此处提到的合作伙伴(如Cribl等)来创建来自其他云提供商或应用程序日志的日志源管道，以进入Security Lake。

一旦数据存在并且有组织，就允许您完全控制和灵活地对这些日志进行操作。为了向您展示这些信息的样子，以及一旦设置好后的情况，这是我在已启用Security Lake的账户中Amazon S3存储桶的视图。您可以看到，我不必进行任何组织或编排 - 系统会根据源日志自动创建文件夹。这些都是亚马逊云科技源。如果我点击这里，所有选择进入Security Lake的日志都会有组织地显示出来。您可以看到所有API活动、CloudTrail、VPC中的所有流日志、EKS审计、Route 53 DNS、Lambda、WAF - 这些都受Security Lake支持。此外，Security Hub中的所有发现也可以被引入，以便安全团队不仅可以轻松查询日志，还可以查询以标准OCSF格式存在的相关发现。

回到同一个存储桶，不仅有亚马逊云科技日志，还有我可能集成的外部源。当我添加这些自定义源(无论是来自我们的合作伙伴工具还是从其他云提供商引入)时，也可以轻松集成并将它们引入，然后在一个地方进行关联。这一切都是自动代表客户完成的，因此Security Lake提供的一个关键价值是消除了组织和编排这些日志所需的无差别繁重工作。

要将此信息引入Amazon Security Lake，绝对不需要Lambda、Step Functions或ETL。一旦信息存在，客户就有大量的灵活性来利用这些日志。您可以开始使用亚马逊云科技分析工具，如Athena，并可以立即进入您的Athena账户并开始查询这些日志，或者您可以使用OpenSearch、SageMaker - 安全行业正在发生大量AI/ML和生成式AI创新，因此您可以在这些日志之上构建Bedrock并为您的安全团队编写自己的生成式AI应用程序来自动化这些工作流。

更重要的是，您可以使用您可能已经在使用的合作伙伴工具，但这里的重大区别在于，您不必将数据直接流式传输到这些第三方工具并产生出口费用或支付数据传输费用，而是可以决定对于威胁分析或运行时分析，您可能只想将30天或60天的数据发送到这些合作伙伴工具，然后在Amazon S3中维护该数据的整个生命周期，因为它已经存在于那里。这也使管理安全策略和谁可以访问这些日志变得非常容易，因为现在它们都集中在一起，您也可以选择将哪些日志源发送到哪些订阅者。

分析方面的合作伙伴列表也在不断增长。他们现在都支持OCSF，而且许多合作伙伴现在也支持联合查询访问，这意味着您甚至不需要将数据移动到合作伙伴工具。就像在Athena中一样，您可以实时查询这些日志。一些主要的SIEM或SOAR供应商现在也支持从Security Lake进行联合查询访问。

就在几天前，我们推出了Amazon Security Lake与OpenSearch零ETL的集成。这现在允许客户轻松地将Amazon Security Lake中的数据源连接到OpenSearch，并创建自己的自定义仪表板或一些针对VPC流日志或CloudTrail的内置仪表板，这些仪表板在OpenSearch中可以轻松获得。其中一个关键价值主张是OpenSearch现在支持无服务器和零ETL，因此OpenSearch不需要额外的计算和相关成本。

然后，我们刚刚在两天前推出或宣布的最新服务是亚马逊云科技安全事件响应。我们希望确保客户在回答与安全事件相关的问题时拥有充分的灵活性和安全性。这是Amazon一直为所有加入企业支持计划的客户提供的服务，但从本周开始，我们现在提供固定的SLA，并提供自动分类一些我们在GuardDuty或Security Hub中发现的发现的能力。如果客户需要帮助分类这些发现，他们可以利用亚马逊云科技安全事件响应。

这是一项由Amazon客户事件响应团队提供支持的人工服务，因此当您在这种情况下记录服务工单时，该服务将自动为您提供对工单状态的可见性。您还可以定义您的事件响应团队、他们的角色、权限以及您希望如何与SIR团队(关键事件响应团队)进行通信。这现在允许客户完全了解他们环境中正在发生的一切。如果您有疑问，我们显然鼓励所有客户利用这项服务。正如我所提到的，有一个免费计划可供所有客户使用，然后还有一个现已推出的固定SLA，其中包含内置自动化和我们可以提供的24/7专业知识。

总的来说，我们的检测和响应服务正在不断发展和创新。我们的目标是帮助客户持续检测和保护他们的亚马逊云科技工作负载，增强他们的安全流程和自动化。我们正在利用生成式AI、机器学习不断改进这些服务，并且我们还使客户能够轻松地汇总所需的信息，从而进行自身创新。

总之，亚马逊云科技检测和响应产品组合提供了全面的威胁检测、漏洞管理、监控、调查和响应功能，这些功能与亚马逊云科技环境本机集成，并利用了机器学习和生成式AI等尖端技术，以帮助为客户营造一个更加安全的全球互联网环境。

下面是一些演讲现场的精彩瞬间：

演讲者在SCC 321会议上重点介绍了亚马逊云科技安全服务组合中检测和响应功能的关键增强。

Amazon GuardDuty的集中管理控制台允许轻松单击启用跨多个账户的安全保护计划，简化了安全运营。

Amazon GuardDuty提供了对S3数据平面事件的可见性，可检测异常活动，如意外的数据访问模式或位置。

Amazon GuardDuty现在为S3存储桶提供了恶意软件保护，支持自动扫描和标记对象，以确保安全的数据引入管道。

一张屏幕截图展示了Amazon S3存储桶中整理后的数据，其中自动创建了各种亚马逊云科技服务日志的文件夹，实现了对安全数据的无缝查询和分析。

亚马逊云科技安全事件响应提供了对安全事件的可见性，并允许客户定义其事件响应团队和通信渠道。

总结

在这个引人入胜的叙述中，亚马逊云科技展示了其在检测和响应服务方面的前沿创新，帮助客户加强云工作负载抵御新兴威胁的能力。这一旅程始于Amazon GuardDuty，这是一项强大的威胁检测服务，利用机器学习和威胁情报来识别已被入侵的凭证、恶意软件以及跨亚马逊云科技账户和工作负载的可疑活动。

漏洞管理成为焦点，Amazon Inspector是一个全面的解决方案，可扫描软件漏洞、错误配置和网络暴露风险。借助生成式人工智能，Inspector现在可以推荐补救步骤，简化了实现安全代码的途径。Amazon Security Hub是一项集中监控和云态势评估服务，无缝集成了来自GuardDuty和Inspector的发现结果，实现全面的可见性和控制。

这一叙述以Amazon Security Lake的推出达到高潮，这是一项开创性的服务，可将来自亚马逊云科技和第三方来源的安全日志集中并规范化为开源模式。这使安全团队能够利用高级分析、人工智能/机器学习和合作伙伴工具，而无需承担数据移动或转换的负担。最后，亚马逊云科技 Security Incident Response作为一项人工支持的服务应运而生，为分类和响应安全事件提供专业知识和固定的服务水平协议。

通过这些创新，亚马逊云科技重申了为客户提供必要工具和洞见以应对不断演变的威胁环境的承诺，为所有人营造一个更加安全的云环境。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。