首席信息安全官：如何追踪并阻止云端的安全威胁

本文作者

CJ Moses 

亚马逊云科技首席信息安全官（CISO）

CJ Moses 是亚马逊云科技的首席信息安全官。CJ 负责领导亚马逊云科技的产品设计和安全工程。他的使命是为企业和政府客户提供云计算的经济和安全性优势。CJ 领导了几项计算机安全调查，这些调查被视为当今信息安全产业的基础。

来自全球的企业信任亚马逊云科技存储及处理其敏感数据。业界领先的威胁信息是我们确保客户在亚马逊云科技上的数据安全的一种方式，我们通过该项目识别和阻止各种可能危害或干扰我们客户及基础设施的恶意在线活动。我们非常重视制定准确、及时、可操作和可扩展的威胁信息，并在这方面投入了大量资源。

很多客户非常想了解我们威胁信息的来源、我们检测到了哪些威胁、我们如何根据所观察到的内容采取行动，以及他们需要做什么来保护他们自己。这些问题表明，首席信息安全官的角色已经从主要技术职能演变为战略性以及面向业务的职能，他们知道有效的威胁信息对于组织的成功和韧性至关重要。

只有亚马逊云科技的全球规模 才能达到的高保真威胁信息

我们每一天都会对亚马逊云科技的基础设施进行扫描、检测和防御网络攻击。作为全球大型的云服务提供商，亚马逊云科技对互联网的某些实时活动，拥有独到的洞察优势。但要让威胁信息对安全产生有意义的影响，就必须收集来自整个互联网的大量原始数据并迅速分析。同时，还必须剔除误报。例如，威胁信息可能会错误地将员工在下班后登录访问敏感数据视为内部威胁，而实际上该员工可能是因为临时项目而不得不加班工作。威胁信息的生成非常耗时，需要大量人力和数字资源。

为了应对这些挑战，我们采用了人工智能和机器学习（AI/ML）技术来帮助分析师加快威胁信息生成的速度和准确性。然而，如果无法收集和分析整个互联网上的相关信息，威胁信息的用处就非常有限。对于时间敏感类信息，组织机构即使能够自行收集可操作的威胁信息，如果没有覆盖全球的云基础设施，也很难或不可能及时并大规模地与他人共享。

通过亚马逊云科技基础设施生成的信息信号，我们显著提高了威胁信息的准确性，实现了我们所说的高保真。亚马逊云科技复杂的全球分布式威胁传感器网络 MadPot 具有自动响应功能，随着我们使用 MadPot 发现和监控潜在的有害活动，我们也在不断提升应对威胁参与者不断演变的战术的能力、技术和程序（TTP）的观测和应对能力。

通过亚马逊云科技的全球网络和像 MadPot 这样的内部工具，我们可以实时接收和分析数千种不同类型的事件信号。例如，MadPot 每天能检测到超过1亿个来自全球的潜在威胁，其中约有50万个被归类为恶意活动。这意味着高保真的发现会生成有价值的威胁信息，我们因此可以迅速采取行动，保护世界各地的客户免受有害和恶意在线活动的影响。我们也会将高保真信息产生的实时发现输入到智能威胁检测安全服务 Amazon GuardDuty 中，对数百万个亚马逊云科技账户进行自动威胁检测。

亚马逊云科技 Mithra 评估域名可信度帮助保护客户免受威胁

识别恶意域名（互联网上的物理 IP 地址）对于有效的威胁信息至关重要。当亚马逊云科技客户与域名进行交互时，Amazon GuardDuty 会生成各种发现（如异常行为等潜在的安全问题），每个域名都会根据各种评估可信度的指标得到一个信誉评分。为什么要进行这种评分排名？维护一个高质量的恶意域名列表对于监控网络犯罪行为和保护我们的客户至关重要。

那么，如何完成这个庞大的评分任务的呢？我们可以将其想象成一个巨大的图表，庞大到难以用人工查看和理解，更不用说从中提取有用的洞察了，这就需要 Mithra 的强大功能。

让我们认识一下 Mithra：

Mithra 这个名字源自一种神话中的升起的太阳，它是一个由亚马逊云科技开发的大型内部神经网络图模型，使用为威胁信息而设计的算法。

Mithra 的信誉评分系统具有35亿个节点和480亿条边，专门用于识别客户接触到的恶意域名，并对这些域名进行相应的打分。我们每天观察到大量 DNS 请求，仅在亚马逊云科技一个区域就高达2,000万亿次，Mithra每天平均检测到182,000个新的恶意域名。Mithra 每天都会为每个在亚马逊云科技内查询的域名算出一个信誉评分，这让亚马逊云科技不需要依赖第三方来检测新兴威胁，同时相比使用第三方能更快生成更好的知识。

Mithra 不仅能够以惊人的准确性检测恶意域名，减少误报，而且这个超级图还能够比第三方的威胁信息源提前数天、数周，有时甚至数月预测恶意域名。这种强大的能力意味着我们每天都可以观察到并应对数百万个安全事件和潜在威胁。

Mithra 对域名进行评分，可用于：

◆生成一个新的、高度可信的恶意域名列表，用于诸如 Amazon GuardDuty 的安全服务中，保护我们的客户。Amazon GuardDuty 还允许客户阻止恶意域名并获取潜在威胁的警报。

◆使用第三方威胁信息源的服务可以借助 Mithra 的评分来显著减少误报。

◆亚马逊云科技安全分析师可以在安全调查过程中使用这些评分作为额外的参考。

与客户分享我们的高保真威胁信息，提升他们的自我保护能力

我们不仅将威胁信息用于无缝增强亚马逊云科技和客户所依赖的安全服务，还主动与那些可能会受到恶意行为者攻击或潜在入侵的客户和其他组织分享关键信息。威胁信息接收者可以通过评估我们分享的信息，采取措施来降低风险，防止业务中断。

例如，通过我们的威胁信息，如果我们发现某些组织机构的系统可能会被威胁行为者入侵，或似乎运行了配置错误且易受攻击或滥用的系统（如开放数据库），我们就会对这些组织机构发出通知。网络犯罪分子会持续扫描互联网来寻找暴露的数据库和其他漏洞，数据库暴露的时间越长，恶意行为者发现并利用它的风险就越高。在某些情况下，当我们收到信号表明第三方组织（非客户）可能会遭到威胁行为者入侵时，我们也会通知他们，因为这样做可以阻止进一步的攻击，促进整个互联网的安全。

通常，当我们向客户和其他组织机构发出此类问题的警报时，这是他们第一次意识到自己可能被入侵了。他们收到通知后，可以进行调查来决定需要采取哪些措施来保护自己，防止可能导致中断或进一步攻击的事件的发生。我们的通知通常还包括组织机构可以采取的行动建议，例如审查特定域名的安全日志并阻止它们，实施缓解措施，更改配置，进行取证调查，安装最新补丁或将基础设施置于网络防火墙之后。这些主动行动能帮助相关组织机构在潜在威胁发生之前就采取行动，而不是在事件发生后才做出反应。

有时，我们通知的客户和其他组织机构也会反过来提供一些信息，让我们能进一步为他人提供帮助。如果受影响的组织机构在调查后向我们提供相关的入侵指标（indicators of compromise，IOC），这些信息可用于提升我们对入侵发生方式的理解。这种理解可能会带来重要的洞察，我们可以与他人分享这些洞察，他们进而利用这些信息采取行动来改善自身的安全态势——这是一个良性循环，通过协作促进安全。例如，我们收到的信息可能会帮助我们了解一个社会工程学攻击或特定的网络钓鱼活动是如何通过在受害者系统上安装恶意软件来破坏一个组织的安全。或者，我们可能会收到用于实施入侵的零日漏洞信息，或了解如何使用一个远程代码执行（RCE）攻击来运行恶意代码和其他恶意软件来窃取数据。然后，我们可以使用和分享这些信息来保护客户和其他第三方。当大家相互合作、共享资源、信息和专业知识时，这种协作和协调响应会更加有效。

亚马逊云科技运营着可靠的云基础设施，这让我们拥有独特的视角观测安全态势和客户每天面临的威胁。我们分享的威胁信息提高了客户和其他组织的安全性，这让我们深受鼓舞，我们将继续寻找更多能提供帮助的方式。