"זיהוי התנהגות חריגה ברשת משול למציאת מחט בערימת שחת"

"בעת שארגונים מרחיבים את השימוש שלהם בענן ופורסים ארכיטקטורות של מיקרו-שירותים, ייתכן שיש להם כמה חשבונות בענן הציבורי, עם עד מאות אלפי אובייקטים. זיהוי והערכה של התנהגות חריגה, לאורכם של חשבונות מרובים, רשתות ואובייקטים בהיקף כזה – דומה למציאת מחט בערימת שחת", כך אמר סטפן שמידט, סגן נשיא ומנהל אבטחה ראשי, AWS.

שמידט דיבר בכנס הלקוחות השנתי של אמזון ווב סרוויסז, AWS re:Invent, שערכה החברה בשבוע שעבר בלאס וגאס. הכנס, המתקיים זו הפעם השישית, היה בהשתתפות 43 אלף לקוחות ושותפים עסקיים של ענקית הענן.

עד עתה, אמר שמידט, "צוותי אבטחה בארגונים נדרשו לפתח, או לשלב בין כלים רבים לזיהוי התנהגות חריגה, בין שמדובר בהאקרים אשר סורקים שרתי רשת לאיתור פרצות, מעקב אחר אובייקטים שנפרצו במטרה שישמשו כנוזקות לכריית מטבעות דוגמת ביטקוין – או הקצאת משאבים בלתי מורשית". בנוסף ציין, "הארגונים גם נדרשים לאסוף גישה ל-API ותנועות הרשת ולתאם ביניהם לבין מקורות מודיעין על איומים, תוך יישום אלגוריתמים לזיהוי חריגות, המתבססים על איומים ידועים".

זיהוי איומים חדשים ומתפתחים

על פי שמידט, "ארגונים נדרשים לזיהוי איומים המנתח טריליוני אירועים ביום, לטובת זיהוי איומים חדשים ומתפתחים. עליהם לקבל יכולת אבטחה פשוטה, מותאמת לצרכי הארגון, ויעילה לחשבונות שיש להם בענן ולמידע שבהם".

ענקית הענן הכריזה בכנס על שירות חכם, מנוהל באופן מלא, לזיהוי איומים. הוא מסייע לארגונים להגן על המידע והחשבונות שלהם הנמצאים ב-AWS – על ידי ניטור רציף של הפעילויות בחשבון, לגילוי התנהגויות זדוניות או בלתי מורשות.

"ארגונים יכולים להפעיל את Amazon GuardDuty ישירות מקונסולת הניהול של AWS ולהתחיל מיידית בניתוח הרשת בחשבונותיהם, כדי לקבוע את קו הבסיס ה-'נורמלי' של הפעילות בחשבון", אמר שמידט. "אחר כך, GuardDuty מיישם באופן רציף לימוד מכונה, כדי לזהות אירועים שחורגים מהדפוסים הנורמאליים. השירות מתאם את הפעילות, תוך שימוש בכלים קנייניים שפותחו על ידי AWS לזיהוי של איומים, ובכלים של ספקיות אבטחת מידע אחרות".

לדבריו, "כאשר  מזוהות חריגות, השירות מספק התראת אבטחה מפורטת לבעל החשבון ב-AWS, באופן פרואקטיבי ומאפשר אינטגרציה עם מערכות קיימות לניהול אירועים. בדרך זו, אין צורך בהתקנת חומרה, או תוכנה כלשהי ואין תשלומי מנוי לספקים נוספים, והלקוחות משלמים רק עבור האירועים שנותחו".

לחמוק בין הסדקים של מוצרי אבטחה אחרים

כך, הסביר, "ארגונים יכולים לפרוס בקלות פתרון חכם לזיהוי איומים אלו. מרגע הפעלת השירות, הוא מתחיל לקלוט את תנועות הלוגים של AWS CloudTrail ושל AWS VPC – כדי לאתר סימנים לאיומים על החשבון שפתרונות מסורתיים עלולים להחמיץ. הוא יוצר התראות על חריגות שמותאמות לשימוש שנעשה על ידי כל לקוח ו-AWS מעדכנת באופן רציף את מקורות המודיעין שבהם משתמש הכלי. כמו כן, ניתן להשבית מיידית את השירות בלא סיכון של השפעה שלילית על המידע הקיים". הוא ציין כי בין הלקוחות שמשתמשים ב-Amazon GuardDuty, ניתן למנות את ג'נרל אלקטריק (GE), נטפליקס (Netflix), ואוטודסק (Autodesk).

"לקוחות אומרים לנו לעתים, שהדרך הטובה ביותר שבאמצעותה נוכל לסייע להם להיות מאובטחים, היא לספק להם כלים חכמים יותר, שיקלו עליהם ליישם אבטחה נכונה", סיכם שמידט.

"תכננו את השירות כך שהוא יהיה חסכוני בעלות שלו וגם פשוט לתפעול, כך שיוכל לפעול בלא תלות במומחיות של הלקוחות הארגוניים בתחום האבטחה או בשירותים שבהם הם משתמשים. Amazon GuardDuty מזהה באופן חכם איומים שקשה לאתרם ועלולים לחמוק בין הסדקים של מוצרי אבטחה אחרים. הוא מתאים את עצמו בקלות לצרכים הגדלים של כל ארגון, בין שיש להם שני חשבונות AWS ובין שיש להם 2,000 חשבונות".