AWS išsamiai aprašo vidinę „Mithra“ grėsmės žvalgybos sistemą

„Amazon Web Service Inc.“ šiandien išsamiai pristatė „Mithra“ – vidinę sistemą, kurią ji naudoja kenkėjiškų svetainių domenams aptikti.

Debesų milžinas teigia, kad Mithra per dieną aptinka vidutiniškai 182 000 kenkėjiškų domenų. AWS naudoja sistemą, kad apsaugotų klientus nuo kenkėjiško interneto srauto. Kai kuriais atvejais „Mithra“ taip pat padeda Amazon.com Inc. padaliniui aptikti kibernetines atakas prieš organizacijas, kurios nenaudoja jos debesies.

Įsilaužėliai naudojasi kenkėjiškais domenais, kad galėtų maitinti svetaines, kuriose yra kenkėjiškų programų, siųsti sukčiavimo el. laiškus ir vykdyti kitokio tipo kibernetines atakas. Laiku identifikavus kenkėjiškus domenus, organizacija gali užblokuoti su jais susijusį žiniatinklio srautą ir taip užkirsti kelią pažeidimams. Tačiau tai daryti nuolat gali būti sunku, nes įsilaužėliai reguliariai registruoja naujus domenus, kad išvengtų aptikimo.

Vienas iš šaltinių, iš kurių Mithra gauna duomenis apie įsilaužėlių veiklą, yra AWS „MadPot Honeypot“ tinklas. Medaus puodas yra failas, kuris rodomas kaip verslo dokumentas arba programa, bet iš tikrųjų yra jutiklis, skirtas kibernetinėms atakoms piešti.

Kai įsilaužėliai bando pažeisti „MadPot“ jutiklį su kenkėjiška programa, jis užfiksuoja kenkėjišką programą ir ištiria, kaip ji veikia. Šio proceso metu surinkta informacija padeda AWS blokuoti panašias kibernetines atakas, kurios ateityje gali būti nukreiptos į jos klientus.

Ši paslauga taip pat naudoja grėsmės žvalgybą iš kitų šaltinių, ypač „Amazon“ padalinio debesų platformos, kad gautų kenkėjiškus domenus. AWS platformą maitina duomenų centrų grupių tinklas, žinomas kaip regionai. Bendrovė nurodė, kad vienas iš jos regionų kasdien apdoroja iki 200 trilijonų DNS užklausų arba užklausų pasiekti domenus.

Mithra renkamą grėsmės žvalgybos informaciją sutvarko į grafiką. Tai duomenų struktūra, kurioje gali būti ne tik atskiri duomenų taškai, pvz., kenkėjiški domenai, bet ir jungtys tarp tų duomenų taškų. Pavyzdžiui, diagrama gali susieti kenkėjišką domeną su įsilaužimo grupe, kuri ją naudoja kibernetinėms atakoms vykdyti.

„Įsivaizduokite tokią didelę grafiką (galbūt vieną didžiausių), kad žmogui neįmanoma peržiūrėti ir suprasti viso jos turinio, jau nekalbant apie naudingų įžvalgų gavimą“, – rašė „Amazon“ vyriausiasis informacijos saugumo pareigūnas CJ Moses. tinklaraščio straipsnis. „Turėdama 3,5 milijardo mazgų ir 48 milijardus briaunų, „Mithra“ reputacijos vertinimo sistema yra pritaikyta identifikuoti kenkėjiškus domenus, su kuriais susiduria klientai.

AWS naudoja „Mithra“ savo „Amazon GuardDuty“ grėsmių aptikimo paslaugai maitinti. Paslauga analizuoja duomenis iš „Mithra“ ir trečiųjų šalių šaltinių, kad nustatytų kenkėjišką veiklą klientų debesų aplinkoje.

Debesų milžinas taip pat naudoja „Mithra“, kad nustatytų kibernetines atakas prieš organizacijas, kurios nenaudoja jos debesies. „Tam tikromis aplinkybėmis, kai gauname signalus, rodančius, kad trečiosios šalies (ne kliento) organizacijai gali pakenkti grėsmės veikėjas, taip pat pranešame jiems, nes tai gali padėti užkirsti kelią tolesniam išnaudojimui, skatinančiam saugesnį internetą apskritai. “ – rašė Mozė. „Dažnai, kai įspėjame klientus ir kitus apie tokias problemas, jie pirmą kartą suvokia, kad gali būti pažeisti.

Daugeliu atvejų AWS ne tik įspėja organizacijas, kad į jas nusitaiko įsilaužėliai, bet ir dalijasi ištaisymo pasiūlymais. Pavyzdžiui, debesų milžinas gali rekomenduoti įmonei perkelti pažeidžiamą darbo krūvį už ugniasienės, kad blokuotų gaunamą srautą.

„Kartais klientai ir kitos organizacijos, kurioms pranešame, pateikia informaciją, kuri savo ruožtu padeda mums padėti kitiems“, – rašė Moses. „Po tyrimo, jei paveikta organizacija pateikia mums susijusius kompromiso rodiklius (IOC), ši informacija gali būti naudojama siekiant pagerinti mūsų supratimą apie tai, kaip įvyko kompromisas.

Vaizdas: AWS