CISO解密亚马逊云科技主动防御构建之道，“始终走在潜在威胁的前面”

【】11月7日消息，近日，亚马逊云科技首席信息安全官（CISO）Chris Betz发表了一篇题为《亚马逊云科技如何通过主动防御保护客户免受安全威胁》的文章，其中透露了亚马逊云科技构建主动防御云安全体系的诸多细节。

事实上，网络安全的本质是“攻、防”两端的能力较量，主动防御是一种重要的安全策略。正如Chris Betz在文中所言：“为了防止安全事件对客户业务产生影响，我们需要始终走在潜在威胁的前面”、“采取主动的、实时的行动来防止潜在威胁变为真正影响客户安全问题。”

始终走在潜在威胁的前面，正是亚马逊云科技构建主动防御云安全体系的基础逻辑。

那么到底该如何做到“始终走在潜在威胁的前面”、做好主动防御呢？一起看看亚马逊云科技CISO介绍的方法。

将“安全设计”融入服务

在构建云安全体系上，亚马逊云科技有自己的一套方法论。

Chris Betz表示：“亚马逊云科技一直致力于赢得并维护客户对我们的信赖。安全是我们的首要任务，我们一开始在服务设计阶段就将安全考虑其中。”

亚马逊云科技认为“安全是设计出来的”，无论是基础设施还是服务，从设计之初就应该将安全作为首要任务，并嵌入到从架构到操作的各个环节。

具体而言，亚马逊云科技从架构设计之初就注重多层防护，通过自动化监控和全球性威胁响应机制，实现了安全、稳定的云上环境。

同时，凭借全球部署的规模优势（亚马逊云科技基础设施遍及34个地理区域的108个可用区），亚马逊云科技能够实时分析来自世界各地的安全数据。通过与各地安全团队共享情报，亚马逊云科技将最新的威胁信息快速应用于全球的防御体系，为客户提供实时的安全保护。这种规模化的协作不仅强化了亚马逊云科技主动防御的覆盖范围，也使其在提升行业安全标准方面发挥了引领作用。

三大主力系统 构建主动防御屏障

Chris Betz披露，亚马逊云科技的主动防御体系由多个协作系统组成，涵盖了从引诱攻击到分析威胁并最终封锁其入侵路径的全过程。这个过程的核心在于MadPot、Mithra和Sonaris三大系统，它们通过协作有效监控、分析并遏制网络攻击，为亚马逊云科技全球用户构建了无处不在的安全屏障。

一、MadPot：威胁诱捕与情报收集的先锋

蜜罐技术是网络安全防御最新的趋势和技术之一，通过设置诱饵主机吸引攻击者，收集攻击数据，帮助识别和防范潜在威胁‌。

MadPot是亚马逊云科技开发的高级“蜜罐系统”，通过模拟真实的服务和数据来吸引潜在攻击者。

MadPot在全球范围内布置了大量“诱饵”，这些虚拟环境模仿了亚马逊云科技常见的应用场景，意在诱使攻击者将其恶意操作暴露出来。在MadPot环境中，攻击者的每一次尝试和每一条恶意代码都会被记录和分析，从而帮助亚马逊云科技获取宝贵的威胁情报。

二、Mithra：大规模流量监控与信誉评分系统

Mithra是亚马逊云科技开发的神经网络威胁情报系统，专门应对DDoS等恶意流量。该系统通过35亿节点和480亿条边的复杂神经网络，实时分析全球范围内的网络请求并对其信誉评分。

凭借日均处理200万亿次互联网域请求的能力，Mithra每天识别并屏蔽约182,000个恶意域名，防止它们进入亚马逊云科技网络，以保障客户业务的安全。

据悉，在一次全球范围DDoS攻击中，Mithra成功屏蔽了数十亿次恶意请求，保障了客户服务的平稳运行。其信誉评分系统不仅能识别并隔离不可信请求，还帮助减少流量攻击带来的业务中断，有效提升了应用的可用性。

三、Sonaris：全球范围内的实时威胁检测与自动化响应

今年re:Inforce大会上，Chris Betz曾介绍过内部威胁情报工具——Sonaris，在保护亚马逊云科技和客户方面发挥着至关重要的作用。

Sonaris是亚马逊云科技内部研发的全球实时威胁检测系统，并与MadPot紧密整合。Sonaris依靠强大的机器学习模型和深度神经网络来分析网络流量，实时捕捉并屏蔽恶意活动。它可以在几分钟内在全球范围内识别并自动限制未经授权的扫描和发现 Amazon Simple Storage Service (Amazon S3)存储桶的行为。

Sonaris应用安全规则和算法每分钟可识别2,000亿次事件中的异常情况。每当MadPot收集到新的威胁行为模式时，Sonaris会迅速同步这些情报，更新其内部算法，以便第一时间检测并自动限制攻击者的活动。

当Sonaris识别出恶意尝试扫描亚马逊云科技IP地址或客户账户时，它会触发Amazon Shield、 Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3和 Amazon WAF的自动保护，实时自动保护客户资源免受未经授权活动的影响。

得益于MadPot和Sonaris的合作，亚马逊云科技可以在潜在攻击发生之前就做好防御准备，将客户暴露在风险中的时间降至最低。

主动防御成果可量化

在网络安全领域，和被动防御不同，因为主动防御要“始终走在潜在威胁的前面”，也就意味着威胁并未实际发生，就已经被“消灭”。

事实上，在网络安全界，主动防御如何自证有效，也是安全服务提供商绕不开的一个话题。

亚马逊云科技如何衡量Sonaris应对网络流量攻击实际对客户产生的影响？

Chris Betz介绍，亚马逊云科技为评估Sonaris对客户安全的影响，利用MadPot进行了分组测试，设立两个独立的蜜罐测试组来比较各自的威胁活动：一组配置了基于Sonaris分析的边界安全控制，另一组则无任何防护措施。结果显示，Sonaris能够有效阻止大量潜在威胁，在MadPot分类的数百种恶意交互中，2024年9月的数据显示不当尝试减少了83%。

在过去12个月中，Sonaris拒绝了超过270亿次尝试查找无意公开的S3存储桶，并阻止了近2.7万亿次尝试发现 Amazon Elastic Compute Cloud (Amazon EC2)上的服务漏洞。

在2023年和2024年期间，一个名为Dota3的大型活跃僵尸网络一直在扫描互联网，寻找易受攻击的主机和设备来安装加密货币挖矿的恶意软件。在2024年第三季度，Sonaris分层检测方法，让这个僵尸网络无法避免亚马逊云科技的的自动检测。Sonaris自动保护客户免受每小时超过16,000个恶意扫描端点的攻击。

同时，Chris Betz也强调：“尽管Sonaris能够降低风险，但它无法完全消除风险，为此我们的工作还远未结束。我们将持续发展和加强安全措施，亚马逊云科技将继续致力于让互联网变得更加安全，让客户能够在日益复杂的数字环境中快速发展的同时保持强大的安全态势。”