亚马逊首席信息安全官兼网络安全专家 CJ Moses深入探讨了他的公司如何与云计算部门亚马逊网络服务一起在无人察觉的情况下挫败了数万亿次网络攻击。
“以 AWS Shield 为例,99% 的针对 AWS 云的DDoS 攻击都得到了缓解,而受影响的客户对此毫不知情。这是为什么呢?因为系统在发挥作用,”亚马逊首席信息安全官 (CISO) 兼安全工程副总裁Moses说道。
摩西是美国顶尖的网络安全专家之一,曾在美国联邦调查局和空军特别调查办公室工作多年,用他的话说,“追捕世界各地的罪犯和间谍”。
亚马逊故意将易受攻击的系统放在互联网上,以便公司可以从潜在恶意威胁行为者的行为中吸取教训。亚马逊将这个蜜罐网络称为 MadPot。
亚马逊发现 MadPot 每天遭受高达 7.5 亿次攻击,而 AWS 的主动防御工具 Sonaris 在过去一年中阻止了近 2.7 万亿次发现 Amazon EC2 上易受攻击服务的攻击。
摩西解释了 Madpot、AWS 的主动防御工具 Sonaris 以及亚马逊首席执行官安迪·贾西 (Andy Jassy) 的安全文化如何使亚马逊成为地球上最重要和最具创新性的网络安全公司之一。
MadPot 每天遭受 7.5 亿次威胁尝试
MadPot 是 AWS 的威胁情报技术,它使用工具来查找、研究和阻止可能影响客户的数字威胁,从而阻止不良行为者。MadPot 是一种全球蜜罐系统,是为捕捉威胁行为者行为而设置的诱饵。
“我们在整个 AWS 上创建了一个名为 MadPot 的蜜罐网络。它们本质上是我们故意放置在那里的易受攻击的系统,有各种不同的类型和不同的漏洞。然后,该系统允许坏人对它们进行攻击,我们从中吸取教训,”Moses 说。
MadPot 已发展成为一个复杂的监控传感器和自动响应功能系统。这些传感器每天在世界各地监测数亿次潜在威胁交互和探测,其中数十万次活动被归类为恶意活动。
摩西在 2023 年成为亚马逊的 CISO 之前曾担任 AWS 的 CISO 长达 15 年。他表示,亚马逊不会调查客户的数据或代表客户运行的实例。
“因此,我们创建了易受攻击的系统,并对其进行管理、操作和运行,然后能够从我们拥有的系统中获取威胁情报。我们利用这些信息,根据所获信息迅速采取防御措施,以便能够阻止和应对这些威胁,”Moses 说道。
“它的规模如此之大,今年早些时候,我们报告称每天有 1 亿次互动,即诈骗和威胁企图。现在每天增加到 7.5 亿次,”他说。
这种增长是由于威胁行为者通过生成式人工智能等新技术提高了他们的瞄准能力,同时,AWS 也构建了更好的工具来提高威胁可见性。
Sonaris 阻止了 EC2 上的 2.7 万亿次尝试以及 S3 存储桶上的 270 亿次尝试
当亚马逊发现威胁时,它会使用 AWS Sonaris——一种主动防御工具,可以分析潜在的有害网络流量,以便亚马逊可以快速、自动地限制正在寻找漏洞的威胁行为者。
“Sonaris 是一个网络级系统,它允许我们获取威胁情报,然后进行阻止。因此,缓解或阻止措施可以防止威胁行为者的活动影响我们的客户,”Moses 说道。
“MadPot 几乎实时地向 Sonaris 提供威胁情报,然后 Sonaris 能够阻止和处理这些问题,”他说。“例如,Sonaris 的一个指标是,去年 EC2 实例上的阻止操作尝试次数为 2.7 万亿次。”
在过去 12 个月中,亚马逊证实 Sonaris 已阻止了近 2.7 万亿次试图发现Amazon EC2上存在漏洞的服务的尝试。Sonaris 还拒绝了超过 270 亿次试图查找无意中公开的 S3 存储桶的尝试。
“因此,你将看到 270 亿个 S3 存储桶因此而受到保护,”他说。
亚马逊的事件响应业务为何如此神秘
摩西表示,尽管拥有全球顶级的事件响应业务之一,但亚马逊的安全团队历来“有点处于阴影之中”。
然而,现在该公司的事件响应团队已经大幅壮大,并已成为人们关注的焦点。
“对于很多威胁情报,我们多年来一直在幕后进行。过去我们从未与你们 [CRN] 或任何其他人谈论过这件事。今年,我们开始敞开大门让人们看一看,主要是因为客户一直在询问,”Moses 说道。
客户告诉亚马逊,其他顶级网络安全供应商不断向公众宣传和推销他们的新产品。
“客户告诉我们,‘你们能接触到的东西比他们赚到的要多得多。你们在做什么?’过去,我们总是说,‘是的,我们有。我们会照顾好你们。所以不用担心。’但据我们了解,人们想要知道细节,”摩西说。“他们不相信你们在做这些事情。所以今年,我们分享了更多信息。”
为什么网络安全威胁不会让 Moses 彻夜难眠
许多人可能会认为,作为亚马逊的 CISO 可能会整夜不眠地思考一系列网络威胁。
然而,摩西在网络安全领域工作了 25 多年,他说唯一能让他夜不能寐的东西就是他的狗。
多年来追捕全球最危险的黑客和罪犯让摩西有了更深刻的认识。
“这件事教会我的一件事是,你需要专注于你能控制的事情。如果我专注于我能控制的事情,那些我无法控制的事情就会变得容易处理得多。因此,我不会担心,”他说。“我的意思是,有些事情在当下让我担心。我会考虑我能做些什么,然后我们[解决]我们能做的事情。很多时候,这是为未来做准备。”
亚马逊在网络安全方面的巨大差异
摩西斯不必为针对其公司及其客户的数十亿威胁而夜不能寐,主要原因之一是亚马逊的网络安全理念。
“亚马逊最大的差异化就是文化。领导层将安全放在首位或首位,这是我们的与众不同之处,”Moses 说道。
亚马逊一流的安全态势并非偶然,而是因为亚马逊二十年来一直重视网络安全。
“网络安全并不是最近才出现的问题,因为我们遇到了安全问题。我们从第一天开始就是这样的,因为我们过去的生活就很偏执,”Moses 说,他于 2007 年首次加入 AWS。“Andy Jassy 也认同这种偏执,因为他相信我们,并将这种偏执延续了下去。坦率地说,建立在这种安全文化的核心基础上,让我们能够避开很多重大安全事件。”
“我们可以证明,我们的系统受到的攻击来自其他系统遭受过的相同威胁。我们经常看到这种情况。我们每天看到 7.5 亿次攻击,”Moses 说。“但为什么他们没有进入 [亚马逊]?这是因为我们提前进行了正确的投资。我们并不偏执。我们知道他们想攻击我们,我们将尽一切努力阻止他们。”