 |
Hoje estou feliz em anunciar Amazon Guardduty Detecção de ameaças prolongadas com cobertura expandida para Amazon Elastic Kubernetes Service (Amazon EKS)com base nas capacidades que introduzimos em nosso AWS re: invente 2024 anúncio de Detecção de ameaças estendidas da Amazon Guardduty: Identificação da sequência de ataque AI/ml para segurança em nuvem aprimorada.
As equipes de segurança que gerenciam as cargas de trabalho do Kubernetes geralmente lutam para detectar ataques sofisticados de vários estágios que visam aplicações de contêiner. Esses ataques podem envolver a exploração de contêineres, a escalada de privilégios e o movimento não autorizado nos aglomerados da Amazon EKS. As abordagens tradicionais de monitoramento podem detectar eventos suspeitos individuais, mas muitas vezes perdem o padrão de ataque mais amplo que se estende por essas diferentes fontes de dados e períodos de tempo.
A detecção de ameaças estendida de proteção introduz um novo tipo de encontro de gravidade crítica, que correlaciona automaticamente os sinais de segurança nos registros de auditoria Amazon EKs, comportamentos de tempo de execução de processos associados a aglomerados de EKs, execução de malware em aglomerados de EKs e atividades de AWS para identificar padrões de ataque sofisticados que, de outra forma, podem se tornar desportados. Por exemplo, o GuardDuty agora pode detectar sequências de ataque nas quais um ator de ameaças explora um aplicativo de contêiner, obtém tokens de conta de serviço privilegiados e, em seguida, usa esses privilégios elevados para acessar segredos sensíveis de Kubernetes ou recursos da AWS.
Esse novo recurso usa algoritmos de correlação de proteção para observar e identificar sequências de ações que indicam um compromisso potencial. Ele avalia os achados em todo planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. Para cada sequência de ataque detectada, a GuardDuty fornece detalhes abrangentes, incluindo recursos potencialmente impactados, cronograma de eventos, atores envolvidos e indicadores usados para detectar a sequência. As descobertas também mapeiam atividades observadas para mitular táticas e técnicas e recomendações de remediação da ATT & CK®, com base nas melhores práticas da AWS, ajudando as equipes de segurança a entender a natureza da ameaça.
Para ativar a detecção de ameaças prolongadas para os EKs, você precisa de pelo menos um desses recursos ativados: Proteção EKS ou Monitoramento de tempo de execução. Para uma cobertura máxima de detecção, recomendamos que os dois aprimorem os recursos de detecção. O EKS Monitora a proteção controla as atividades do plano através de logs de auditoria e o monitoramento do tempo de execução observa comportamentos dentro dos contêineres. Juntos, eles criam uma visão completa dos seus clusters EKs, permitindo que a GuardDuty detecte padrões de ataque complexos.
Como funciona
Para usar o novo Amazon Guardduty estendida de detecção de ameaças para aglomerados EKS, vá para o Console de guarda Para ativar a proteção EKS em sua conta. No seletor de região no canto superior direito, selecione a região onde deseja ativar a proteção EKS. No painel de navegação, escolha Proteção EKS. No Proteção EKS página, revise o standing atual e escolha Habilitar. Selecione Confirmar Para salvar sua seleção.
Depois de ativado, o GuardDuty começa imediatamente a monitorar os logs de auditoria de EKs de seus clusters EKS sem exigir nenhuma configuração adicional. A GuardDuty consome esses logs de auditoria diretamente do plano de controle EKS por meio de um fluxo independente, o que não afeta nenhuma configuração de registro existente. Para ambientes multi-contabilizadosSomente a conta de administrador de guarda delegada pode ativar ou desativar a proteção EKS para contas de membros e definir configurações de ativação automática para novas contas que ingressam na organização.
Para ativar Monitoramento de tempo de execuçãoescolher Monitoramento de tempo de execução no painel de navegação. Sob o Configuração guia, escolha Habilitar Para ativar o monitoramento de tempo de execução para sua conta.
Agora, você pode ver do Resumo Painel das seqüências de ataque e descobertas críticas especificamente relacionadas ao compromisso do cluster de Kubernetes. Você pode observar que a GuardDuty identifica padrões de ataque complexos em ambientes de Kubernetes, como eventos de comprometimento de credenciais e atividades suspeitas nos clusters EKS. A representação visible das descobertas por gravidade, impacto de recursos e tipos de ataque oferece uma visão holística da sua postura de segurança da Amazon EKS. Isso significa que você pode priorizar as ameaças mais críticas às suas cargas de trabalho em contêiner.
O Encontrando detalhes A página fornece visibilidade para seqüências de ataque complexas que direcionam clusters de EKs, ajudando você a entender todo o escopo de possíveis compromissos. O GuardDuty correlaciona os sinais em uma linha do tempo, o mapeamento de comportamentos observados para atravessar táticas e técnicas de ATT e CK®, como manipulação de contas, seqüestro de recursos e escalada de privilégios. Esse nível granular de perception revela exatamente como os atacantes progridem no ambiente do Amazon EKS. Ele identifica recursos afetados, como cargas de trabalho EKS e contas de serviço. A quebra detalhada de indicadores, atores e pontos de extremidade fornece um contexto acionável para entender os padrões de ataque, determinar o impacto e priorizar os esforços de remediação. Ao consolidar essas informações de segurança sobre uma visão coesa, você pode avaliar rapidamente a gravidade dos incidentes de segurança da Amazon EKS, reduzir o tempo de investigação e implementar contramedidas direcionadas para proteger seus aplicativos de contêiner.
O Recursos seção do Encontrando detalhes A página mostra o contexto sobre os ativos específicos afetados durante uma sequência de ataques. Esta lista de recursos unificados fornece visibilidade do escopo exato do compromisso – desde o acesso inicial aos componentes Kubernetes direcionados. Como a GuardDuty inclui atributos detalhados, como tipos de recursos, identificadores, datas de criação e informações sobre nome, você pode avaliar rapidamente quais componentes da sua infraestrutura de contêiner exigem atenção imediata. Essa abordagem focada elimina as suposições durante a resposta a incidentes, para que você possa priorizar os esforços de remediação nos recursos afetados mais críticos e minimizar o potencial raio de explosão dos ataques alvo da Amazon EKs.
Agora disponível
A Amazon Guardduty estendeu a detecção de ameaças com cobertura expandida para clusters do Amazon EKS fornece um monitoramento abrangente de segurança em todo o ambiente do Kubernetes. Você pode usar esse recurso para detectar ataques sofisticados de vários estágios, correlacionando eventos em diferentes fontes de dados, identificando sequências de ataque que o monitoramento tradicional pode perder.
Para começar a usar esta cobertura expandida, ative Proteção EKS em suas configurações de guarda e considere adicionar Monitoramento de tempo de execução Para recursos aprimorados de detecção.
Para obter mais informações sobre esse novo recurso, consulte o Amazon Guardduty Documentação.