AWS erweitert GuardDuty um KI/ML-Funktionen, um komplexe Angriffssequenzen über Workloads, Anwendungen und Daten hinweg zu erkennen und mehrere Sicherheitssignale im Laufe der Zeit zu korrelieren, um proaktive Cloud-Sicherheit zu gewährleisten. Die neue Funktion nutzt die umfassende Cloud-Sichtbarkeit und Skalierbarkeit von AWS, um eine verbesserte Bedrohungserkennung für Ihre Anwendungen, Workloads und Daten bereitzustellen. GuardDuty Extended Threat Detection verwendet hochentwickelte KI/ML, um sowohl bekannte als auch bisher unbekannte Angriffssequenzen zu identifizieren und bietet einen umfassenderen und proaktiveren Ansatz für die Cloud-Sicherheit. Diese Erweiterung adressiert die wachsende Komplexität moderner Cloud-Umgebungen und die sich entwickelnde Landschaft der Sicherheitsbedrohungen und vereinfacht die Bedrohungserkennung und -reaktion.
Viele Unternehmen stehen vor der Herausforderung, die große Menge an Sicherheitsereignissen, die in ihren Cloud-Umgebungen generiert werden, effizient zu analysieren und darauf zu reagieren. Mit der zunehmenden Häufigkeit und Komplexität von Sicherheitsbedrohungen ist es schwieriger geworden, Angriffe, die als Sequenzen von Ereignissen im Laufe der Zeit auftreten, effektiv zu erkennen und darauf zu reagieren. Sicherheitsteams haben oft Schwierigkeiten, zusammenhängende Aktivitäten, die Teil eines größeren Angriffs sein könnten, zusammenzufügen, wodurch möglicherweise kritische Bedrohungen übersehen oder zu spät reagiert wird, um erhebliche Auswirkungen zu verhindern.
Um diesen Herausforderungen zu begegnen, haben wir die Bedrohungserkennungsfunktionen von GuardDuty um neue KI/ML-Funktionen erweitert, die Sicherheitssignale korrelieren, um aktive Angriffssequenzen in Ihrer AWS-Umgebung zu identifizieren. Diese Sequenzen können mehrere Schritte umfassen, die von einem Angreifer unternommen werden, wie z. B. die Ermittlung von Berechtigungen, die Manipulation von APIs, Persistenzaktivitäten und die Datenexfiltration. Diese Erkennungen werden als Angriffssequenzbefunde dargestellt, eine neue Art von GuardDuty-Befund mit kritischem Schweregrad. Zuvor hatte GuardDuty noch nie den kritischen Schweregrad verwendet und diese Stufe für Befunde mit höchster Sicherheit und Dringlichkeit reserviert. Diese neuen Befunde führen den kritischen Schweregrad ein und enthalten eine Zusammenfassung der Art und Bedeutung der Bedrohung in natürlicher Sprache, beobachtete Aktivitäten, die Taktiken und Techniken aus dem MITRE ATT&CK®-Framework zugeordnet sind, und präskriptive Remediation-Empfehlungen basierend auf AWS-Best Practices.
GuardDuty Extended Threat Detection führt neue Angriffssequenzbefunde ein und verbessert die Handlungsfähigkeit für bestehende Erkennungen in Bereichen wie Datenexfiltration von Anmeldeinformationen, Berechtigungseskalation und Datenexfiltration. Diese Erweiterung ermöglicht es GuardDuty, zusammengesetzte Erkennungen anzubieten, die sich über mehrere Datenquellen, Zeiträume und Ressourcen innerhalb eines Kontos erstrecken und Ihnen ein umfassenderes Verständnis komplexer Cloud-Angriffe vermitteln.
