使用亚马逊云科技安全事件响应更快地响应和恢复

使用亚马逊云科技安全事件响应更快地响应和恢复

关键字: [Amazon Web Services re:Invent 2024, 亚马逊云科技, Security Incident Response, Alert Triage Prioritization, Incident Response Collaboration, Customer Incident Team, Security Incident Preparation]

导读

介绍亚马逊云科技安全事件响应,这是一项新服务,旨在帮助您更快地响应和恢复安全事件。Learn安全事件响应如何对来自Amazon GuardDuty和其他检测服务的威胁发现进行分类,并提供服务原生工具来协调和自动化响应。对于高度复杂的事件,您可以访问全天候可用的亚马逊云科技安全专家。探索安全事件响应如何补充您现有的安全工具和服务,将事件响应时间从数天缩短到数分钟。

演讲精华

以下是小编为您整理的本次演讲的精华。

2024年亚马逊云科技re:Invent大会上,亚马逊云科技安全事件响应服务的精彩演示吸引了所有人的目光。这项革命性的服务旨在帮助客户高效地准备、响应和恢复安全事件。亚马逊云科技安全事件响应项目服务经理Ross和产品经理Newms实习生共同揭开了这项服务的神秘面纱。

Ross首先阐明了安全事件中遇到的艰巨挑战,如沟通障碍、警报疲劳以及缺乏适当的工具和机制。他生动地描述了客户在现实场景中如何应对这些棘手的障碍。一位客户在遭受勒索软件攻击时,花费了长达19个小时才找到并获取关键签名,从而实施必要的遏制措施。另一位客户由于警报数量庞大,无法全部审查,导致最初的警报被忽视了长达4个月之久。

Ross强调了这些挑战的严重性,并提供了令人震惊的行业统计数据。平均只有50%的警报得到调查,这凸显了优先排序和高效资源分配的迫切需求。此外,识别和修复安全事件的平均时间长达277天,这给了威胁者可乘之机。

Ross还指出,84%的安全专业人员承受着巨大的压力、疲劳和倦怠,这一令人担忧的趋势可能会在行业内形成恶性循环。随着资深专业人员应对这些挑战,新人才的流入可能会减少,加剧现有的资源紧缺状况。

Newms实习生随后登场,全面介绍了亚马逊云科技安全事件响应服务,该服务建立在三大支柱之上:主动事件响应、协作和沟通平台,以及24/7访问亚马逊云科技客户事件响应团队(CERT)。

主动事件响应功能利用自动化来监控和分类来自Amazon GuardDuty和亚马逊云科技安全中心的安全发现。通过整合客户特定的元数据,如常见ARN、IAM主体和IP地址,该服务可以智能地优先处理警报,确保客户将精力集中在最相关和最重要的威胁上。

作为服务的基石,协作和沟通平台有助于高效组织、协调和管理事件响应工作。该平台是一个集中式中心,促进利益相关方之间的无缝协作,实现事件管理的流畅和协调。

第三大支柱是24/7AWSCERT,为客户提供全天候访问专门的高技能专业团队。该团队分布于全球各地,拥有丰富的经验,能够调查和解决亚马逊云科技上的安全事件。这种全天候支持确保客户无论遇到任何复杂或时间紧迫的事件,都能及时获得专家协助。

Newms详细介绍了该服务的三个阶段:准备、响应和恢复。在准备阶段,客户通过在其亚马逊云科技组织中分配一个中央管理账户来启动入职流程。该账户作为可扩展和可靠的中心,随着客户组织的发展而无缝集成。客户还需指定成员详细信息,包括事件响应团队的主要和次要联系人,这是确保利益相关方在整个事件生命周期中保持知情和参与的关键构建。

响应阶段为客户提供了两种启动安全升级的途径:通过主动事件响应工作流程或由客户自行启动。无论选择哪种途径,服务的案例管理系统都为利益相关方之间的协作和沟通提供了一个强大的框架。客户可以灵活地寻求AWSCERT的支持,或在内部安全团队中自行管理案例。

Newms通过一个引人入胜的例子说明了主动事件响应工作流程。在一家公司进行并购时,有人正在删除S3存储桶中的资源,GuardDuty就发出了针对资源的恶意活动警报。启用亚马逊云科技安全事件响应服务后,一旦GuardDuty接收到该发现,就会触发自动化工作流程。该服务随后会使用客户元数据和服务智能来分类该事件,验证是否应该压制或升级该发现,通知客户的安全团队。在这种情况下,如果该服务认为由于并购而导致的活动属于预期行为,它将自动在GuardDuty中压制该发现,从而减少警报疲劳,让客户能够专注于真正的威胁。

恢复阶段利用该服务的工具和24/7访问AWSCERT,为客户提供无缝的恢复体验。这包括自动生成案例历史记录,可用作事后响应报告的一部分,并附有包括战术、技术和程序在内的服务智能数据,以供将来参考。

Newms演示了控制台体验,展示了直观的仪表板,全面呈现现有安全案例,包括自动计算的平均解决时间指标,用于跟踪事件响应计划的性能。他强调了事件响应团队管理功能,允许客户组建由内部和外部利益相关方组成的团队,确保所有相关方在整个事件生命周期中得到通知和参与。

案例创建过程非常简单,客户可以选择寻求AWSCERT的支持或自行管理案例。Newms演示了提供案例详细信息的过程,如受影响的区域和服务,以及动态添加或删除事件响应团队成员的能力。实时消息传递和状态更新等协作功能促进了团队成员之间高效的沟通和协调。

Newms还展示了该服务的灵活性,演示了客户如何在自行管理和AWSCERT支持的案例之间轻松切换,确保他们能够根据事件的发展获得适当的资源和专业知识。

Ross随后正式介绍了AWSCERT,这是一支分布于全球的高技能专业团队,专注于调查客户端共享责任模型下的安全事件。他赞扬了团队的不懈努力、技术实力和专门知识,强调他们在支持客户应对最复杂和最具挑战性的安全事件方面发挥着关键作用。值得注意的是,AWSCERT每年为约1500名客户提供宝贵的支持,包括日志分析、制定遏制策略和制定长期缓解策略。

演示重点介绍了服务的主要优势,包括API驱动的控制,使客户能够以编程方式管理成员、案例和操作。持续监控和保护所提供的威胁补救和响应能力,使客户能够有效地优先处理和响应真正的威胁。

该服务的协作和沟通平台简化了低效流程,为所有与事件相关的沟通提供了一个集中式中心,促进了整个企业内部利益相关方之间的无缝协调,包括法律、营销、高管和运营团队。

该服务最具吸引力的优势之一是,它可以作为测试、规划和运营事件响应计划的单一平台。Ross强调了从每一起事件中学习的重要性,分析检测方法、根本原因、响应时间和遏制平均时间等因素。通过将运行手册、工具和事件响应计划整合到该服务中,客户可以衡量和持续改进其事件响应计划,使之与业务目标保持一致。

客户的反馈进一步证实了该服务的潜力。一位客户表示,他们期望亚马逊云科技安全事件响应服务能够加快响应时间,最大限度地减少安全事件造成的损失。

另一位客户赞赏了AWSCERT在一起特别棘手的事件中提供的跨团队协作和支持,并对团队的出色表现和协作方式表示赞赏。这起事件是2023年8月发生的一起重大勒索软件攻击,导致客户所有的运营工作负载(包括内部和混合云)全部停止。尽管客户的通信渠道中断,但AWSCERT在制定需要对客户环境进行可变更改的遏制策略方面发挥了关键作用。客户对AWSCERT宝贵协助的肯定,彰显了该服务应对最复杂和最具挑战性的安全事件的能力。

在一个非凡的成功案例中,一位金融服务客户对潜在事件的严重性存有疑虑,寻求AWSCERT的指导。通过团队的勤勉调查和全面响应,客户能够自信地告知董事会,没有发生需要报告的事件,从而避免了监管合规措施的需求。这体现了AWSCERT在提供准确可靠评估方面的专业知识,使客户能够做出明智决策并减轻不必要的合规负担。

另一个值得注意的案例发生在2022年,一家物流公司的运营因勒索软件攻击而遭受严重影响,车辆行驶在路上,运营中断。在调查过程中,AWSCERT发现最初的警报实际上是在四个月前触发的,但客户承认由于警报数量庞大,无法全部审查。这一情况凸显了有效警报优先级排序的紧迫需求,以及亚马逊云科技安全事件响应服务在解决这一挑战方面的价值主张。

2021年,AWSCERT协助客户调查,发现在三个月内发生了四起安全事件。经澳大利亚APJC值班负责人进一步分析,发现一家第三方软件开发商将硬编码凭据植入了自定义应用程序,这是一个常见漏洞,如果没有适当的工具和机制,往往难以被发现。这一案例突出了该服务为客户提供必要工具和机制来识别和缓解此类漏洞的能力,确保更加健全的安全态势。

Ross最后重申,该服务能够解决警报疲劳、沟通中断和缺乏适当工具和机制等紧迫挑战。通过对警报进行分类,使客户能够专注于最关键的威胁,亚马逊云科技安全事件响应服务使组织能够有效优化时间和资源。

该服务的协作平台提供了一个集中的中心,用于测试、规划和运营安全事件响应操作,促进所有相关利益相关方之间的无缝协调。此外,该服务为客户提供了实施健全事件响应计划所需的工具和机制,确保他们能够更好地应对和恢复安全事件。

总的来说,亚马逊云科技安全事件响应服务有望彻底改变组织应对安全事件响应的方式,使其运营更快捷、更简单、更高效。通过利用这项服务,企业可以迅速从事件中恢复,并将精力重新集中于实现核心目标,而不会受到历史上困扰事件响应工作的复杂性和挑战的阻碍。

下面是一些演讲现场的精彩瞬间:

首席执行官欢迎在场的观众,包括产品经理Newms Trainee,并对于2024年亚马逊云科技再发布会上推出新服务表示兴奋。

af06b556a8e9530c6bbf8d19ebed8404.png

在一次重大的勒索软件事件中,一位客户不得不开车4个小时去获取实体签名,这凸显了在压力情况下需要更好的沟通策略。

0bb3bc679f7457aba948f71db4993584.png

亚马逊云科技帮助一家物流公司从一次勒索软件攻击中恢复过来,如果他们早些时候重视并响应安全警报,这本可以避免。

530c9f066857b4a4db7b0b674f638514.png

亚马逊云科技分享了一个真实案例,客户由于第三方应用程序中存在硬编码凭证而面临多次安全漏洞,这凸显了有效应对事件所需的适当工具和机制的重要性。

5d40bb6afca29bc26421e23fd9d15494.png

Andy Jassy强调了解决安全专业人员压力、burnout和疲劳的重要性,这可能会导致行业内出现负面螺旋效应。

e5c0266584e8fae0894d9001c8ccd37f.png

了解在亚马逊云科技组织中分配中央管理账户以实现高效入职和准备的好处。

91001e4df278460e4adbfb8e4bf0843e.png

总结

在安全事件日益复杂和频繁的世界中,亚马逊云科技推出了安全事件响应服务,帮助客户更有效地做好准备、响应和恢复。该服务建立在三大核心支柱之上:主动事件响应、协作和沟通平台以及直接访问亚马逊云科技客户事件响应团队(CERT)。

主动事件响应功能利用自动化来监控和分类来自Amazon GuardDuty和Amazon Security Hub的安全发现,根据客户特定的元数据对警报进行优先级排序。这解决了警报疲劳的挑战,使安全团队能够专注于最相关的威胁。协作和沟通平台简化了事件响应协调,为利益相关者提供了一个集中的虚拟空间,以高效地进行沟通和管理案例。

支撑该服务的是亚马逊云科技 CERT,这是一个全球分布的高技能事件响应团队,全天候为客户提供支持。凭借他们深厚的专业知识和专门的技术技能,CERT与客户密切合作,帮助他们从每一起事件中学习和成长。

安全事件响应服务提供了一个全面的解决方案,解决了诸如沟通效率低下、缺乏适当工具和机制以及需要更快响应时间等常见痛点。通过将事件响应操作整合到一个平台上,客户可以更有效地测试、规划和执行安全策略,从而使他们能够快速恢复并恢复业务运营。

凭借其API驱动的架构,该服务赋予客户对成员、案例和操作的控制权,促进了亚马逊云科技与客户之间真正的合作伙伴关系。随着安全事件不断演变,安全事件响应服务成为了一个强大的盟友,为组织提供了工具和专业知识,使其能够跟上时代步伐并保护云资源。

亚马逊云科技(Amazon Web Services)是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务,服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者,亚马逊云科技正在携手广泛的客户和合作伙伴,缔造可见的商业价值 – 汇集全球40余款大模型,亚马逊云科技为10万家全球企业提供AI及机器学习服务,守护3/4中国企业出海。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值