Na conferência AWS re:invent realizada em Las Vegas, ocorreu o lançamento do Amazon GuardDuty. O Amazon GuardDuty é um serviço de detecção de ameaças gerenciado que monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger as contas AWS e workloads. O serviço pode ser gerenciado de forma centralizada para várias contas AWS, é "zero footprint" - não requer que nenhum software ou hardware adicional seja instalado na infraestrutura AWS, e scripts de correção ou funções AWS Lambda podem ser configurados para serem disparados automaticamente com base nos resultados do GuardDuty.
O GuardDuty é habilitado no console da Web da AWS e monitora uma conta AWS (ou série de contas) para atividades como chamadas de API incomuns ou implantações potencialmente não autorizadas que indicam uma possível violação da conta. O GuardDuty usa a correspondência de padrões e a aprendizagem de máquinas para a detecção de anomalias e analisa eventos do AWS CloudTrail, Amazon VPC Flow Logs e Logs de DNS em todas as contas AWS associadas e combina esses dados com várias fontes de inteligência de ameaças contendo listas de endereços e domínios IP maliciosos conhecido por ter hospedado agentes maliciosos.
O GuardDuty é "zero-footprint", na medida em que não requer que nenhum software ou infraestrutura de segurança adicional seja instalado para analisar dados da atividade da conta e de workload - o serviço é executado completamente na infraestrutura AWS - e de acordo com o FAQ do GuardDuty não afetam o desempenho ou a confiabilidade na infraestrutura do cliente.
Scripts de remediação ou funções AWS Lambda podem ser configurados para disparar com base nos resultados do GuardDuty e as informações enviadas no disparo do evento incluem detalhes do recurso afetado, como tags, grupos de segurança ou credenciais. Os resultados do GuardDuty também incluem informações do invasor, como endereço IP e geolocalização. Este mecanismo permite que os resultados do GuardDuty sejam enviados à sistemas de gerenciamento de eventos, como Sumo Logic ou PagerDuty, e para sistemas de workflow como JIRA ou Slack. O blog da AWS afirma que esta funcionalidade permite que uma equipe de segurança defina ações de resposta à ataques automatizadas e centralize essas ações para todas as contas de uma organização.
Embora o GuardDuty possa ser gerenciado, e as ameaças agrupadas em uma única visualização de console (mesmo entre várias contas), vale ressaltar que o GuardDuty é um serviço regional - mesmo quando várias contas são habilitadas e várias regiões são usadas, os alertas de segurança permanecem nas mesmas regiões onde os dados foram gerados. Isso garante que todos os dados analisados tenham uma base regional e não cruzem os limites regionais da AWS (que, de outra forma, poderiam estar sujeitos à regulamentações como o futuro GDPR europeu). Os clientes podem optar por agregar as descobertas de segurança produzidas pelo Amazon GuardDuty em todas as regiões utilizando o AWS CloudWatch Events, movendo descobertas para um armazenamento de dados de controle do cliente, como o Amazon S3, e depois agregando todas as informações.
O GuardDuty também procurará instâncias EC2 comprometidas conversando com entidades ou serviços mal-intencionados, tentativas de exfiltração de dados e instâncias que estejam minerando criptomoedas. Usar (ou instanciar) uma instância EC2 comprometida para a mineração de bitcoin tem sido um vetor de ataque em contas comprometidas por vários anos e pode resultar em uma despesa alta devido a quantidades de uso de recursos.
A AWS avisa explicitamente na documentação "Práticas recomendadas para gerenciamento de chaves de acesso AWS" que qualquer pessoa que tenha uma chave de acesso de uma conta tem o mesmo nível de acesso que o cliente dessa conta. A AWS afirma que eles "utilizam medidas significativas para proteger suas chaves de acesso", e de acordo com o modelo de responsabilidade compartilhada da plataforma, todos os clientes devem fazer o mesmo. Soluções de código aberto, como o projeto AWS Labs' git-secret, permitem a criação de Git hooks pre-commit que analisam os dados de commit de padrões parecidos com as chaves AWS e impedem tal ação.
A quantidade de empresas que vazaram dados armazenados em nuvem pública aumentou ao longo dos últimos anos, embora isso geralmente se concentre em compartilhamentos mal configurados (acessíveis ao público) nos serviços de armazenamento de objetos S3 da AWS. A AWS lançou recentemente o Amazon Macie, um serviço de segurança alimentado por aprendizado de máquina para descobrir, classificar e proteger dados confidenciais dentro do S3. Este serviço pode ser visto como complemento à proteção mais ampla fornecida pelo GuardDuty.
O Amazon GuardDuty é cobrado de duas formas: a quantidade de eventos AWS CloudTrail analisados (a cada 1.000.000 de eventos); e o volume do Amazon VPC Flow Logs e registros de DNS analisados (por GB).
O Amazon GuardDuty já está disponível em várias regiões, e informações adicionais sobre o serviço podem ser encontradas na página do serviço.