Organizações de todo o mundo confiam na Amazon Web Services (AWS) com seus dados mais confidenciais. Uma das maneiras pelas quais ajudamos a proteger dados na AWS é com um programa de inteligência de ameaças líder do setor, no qual identificamos e interrompemos muitos tipos de atividades online maliciosas que podem prejudicar ou interromper nossos clientes ou nossa infraestrutura. Produzir uma inteligência de ameaças precisa, oportuna, acionável e escalável é uma responsabilidade que levamos muito a sério e é algo em que investimos recursos significativos.
Cada vez mais, os clientes nos perguntam de onde vem nossa inteligência sobre ameaças, quais tipos de ameaças vemos, como agimos de acordo com o que observamos e o que eles precisam fazer para se protegerem. Perguntas como essas indicam que os Diretores de Segurança da Informação (CISOs), cujas funções evoluíram de basicamente técnicas para agora uma função estratégica e voltada para os negócios, entendem que a inteligência eficaz contra ameaças é fundamental para o sucesso e a resiliência de suas organizações. Esta publicação do blog é a primeira de uma série que começa a responder a essas perguntas e fornece exemplos de como a inteligência contra ameaças da AWS protege nossos clientes, parceiros e outras organizações.
Inteligência de ameaças de alta fidelidade que só pode ser alcançada na escala global da AWS
Todos os dias, em toda a infraestrutura da AWS, detectamos e evitamos ataques cibernéticos. Com a maior cobertura de rede pública de qualquer provedor de nuvem, a AWS tem uma visão incomparável de determinadas atividades na Internet, em tempo real. Para que a inteligência de ameaças tenha um impacto significativo na segurança, grandes quantidades de dados brutos de toda a Internet devem ser coletadas e analisadas rapidamente. Além disso, os falsos positivos devem ser eliminados. Por exemplo, as descobertas da inteligência de ameaças podem indicar erroneamente uma ameaça interna quando um funcionário está logado acessando dados confidenciais após o horário de trabalho, quando, na realidade, esse funcionário pode ter sido encarregado de um projeto de última hora e teve que trabalhar durante a noite.
Produzir inteligência sobre ameaças consome muito tempo e requer recursos humanos e digitais substanciais. A inteligência artificial (IA) e o machine learning (ML) podem ajudar os analistas a filtrar e analisar grandes quantidades de dados. No entanto, sem a capacidade de coletar e analisar informações relevantes em toda a Internet, a inteligência contra ameaças não é muito útil. Mesmo para organizações que conseguem reunir inteligência acionável sobre ameaças por conta própria, sem o alcance de uma infraestrutura de nuvem em escala global, é difícil ou impossível que informações urgentes sejam compartilhadas coletivamente com outras pessoas em uma escala significativa.
A infraestrutura da AWS transforma radicalmente a inteligência de ameaças porque podemos aumentar significativamente a precisão da inteligência de ameaças — o que chamamos de alta fidelidade — devido ao grande número de sinais de inteligência (notificações geradas por nossas ferramentas de segurança) que podemos observar. Além disso, aprimoramos constantemente nossa capacidade de observar e reagir à evolução das táticas, técnicas e procedimentos (TTPs) dos agentes de ameaças à medida que descobrimos e monitoramos atividades potencialmente prejudiciais por meio do MadPot, nossa sofisticada rede globalmente distribuída de sensores de ameaças honeypot com recursos de resposta automatizada.
Com nossa rede global e ferramentas internas, como o MadPot, recebemos e analisamos milhares de tipos diferentes de sinais de eventos em tempo real. Por exemplo, o MadPot observa mais de 100 milhões de ameaças potenciais todos os dias em todo o mundo, com aproximadamente 500 mil dessas atividades observadas classificadas como maliciosas. Isso significa que descobertas de alta fidelidade (informações relevantes) produzem informações valiosas sobre ameaças que podem ser usadas rapidamente para proteger clientes em todo o mundo contra atividades online nocivas e maliciosas. Nossa inteligência de alta fidelidade também gera descobertas em tempo real que são inseridas em nosso serviço inteligente de segurança de detecção de ameaças Amazon GuardDuty, que detecta automaticamente ameaças em milhões de contas da AWS.
O Mithra da AWS classifica a confiabilidade do domínio para ajudar a proteger os clientes contra ameaças
Vamos mergulhar mais fundo. A identificação de domínios maliciosos (endereços IP físicos na Internet) é crucial para uma inteligência eficaz contra ameaças. O GuardDuty gera vários tipos de descobertas (possíveis problemas de segurança, como comportamentos anômalos) quando os clientes da AWS interagem com domínios, com cada domínio recebendo uma pontuação de reputação derivada de uma variedade de métricas que classificam a confiabilidade. Por que esse ranking? Porque manter uma lista de nomes de domínio maliciosos de alta qualidade é crucial para monitorar o comportamento dos cibercriminosos para que possamos proteger os clientes. Como realizamos a enorme tarefa de ranquear? Primeiro, imagine um gráfico tão grande (talvez um dos maiores que existem) que seja impossível para um humano ver e compreender todo o seu conteúdo, muito menos obter informações úteis.
Conheça Mithra. Batizado com o nome de um sol nascente mitológico, o Mithra é um enorme modelo gráfico de rede neural interna, desenvolvido pela AWS, que usa algoritmos para inteligência de ameaças. Com seus 3,5 bilhões de nós e 48 bilhões de bordas, o sistema de pontuação de reputação da Mithra é personalizado para identificar domínios maliciosos com os quais os clientes entram em contato, para que os domínios possam ser classificados adequadamente. Observamos um número significativo de solicitações de DNS por dia — até 200 trilhões em uma única região da AWS — e o Mithra detecta uma média de 182 mil novos domínios maliciosos diariamente. Ao atribuir uma pontuação de reputação que classifica todos os nomes de domínio consultados diariamente na AWS, os algoritmos da Mithra ajudam a AWS a confiar menos em terceiros para detectar ameaças emergentes e, em vez disso, a gerar um conhecimento melhor, produzido mais rapidamente do que seria possível se usássemos um terceiro.
O Mithra não só é capaz de detectar domínios maliciosos com precisão notável e menos falsos positivos, mas esse supergráfico também é capaz de prever domínios maliciosos dias, semanas e às vezes até meses antes de aparecerem nos feeds de informações sobre ameaças de terceiros. Essa capacidade de classe mundial significa que podemos ver e agir em milhões de eventos de segurança e possíveis ameaças todos os dias.
Ao marcar nomes de domínio, o Mithra pode ser usado das seguintes maneiras:
- Uma lista altamente confiável de nomes de domínio maliciosos até então desconhecidos pode ser usada em serviços de segurança como o GuardDuty para ajudar a proteger nossos clientes. O GuardDuty também permite que os clientes bloqueiem domínios maliciosos e recebam alertas sobre possíveis ameaças.
- Os serviços que usam feeds de ameaças de terceiros podem usar as pontuações da Mithra para reduzir significativamente os falsos positivos.
- Os analistas de segurança da AWS podem usar pontuações para contextualizar ainda mais como parte das investigações de segurança.
Compartilhando nossa inteligência de ameaças de alta fidelidade com os clientes para que possam se proteger
Além de nossa inteligência de ameaças ser usada para enriquecer perfeitamente os serviços de segurança nos quais a AWS e nossos clientes confiam, também entramos em contato proativamente para compartilhar informações críticas com clientes e outras organizações que acreditamos que possam ser alvo ou potencialmente comprometidas por agentes mal-intencionados. Compartilhar nossa inteligência sobre ameaças permite que os destinatários avaliem as informações que fornecemos, tomem medidas para reduzir seus riscos e ajudem a evitar interrupções em seus negócios.
Por exemplo, usando nossa inteligência de ameaças, notificamos organizações em todo o mundo se identificarmos que seus sistemas estão potencialmente comprometidos por agentes de ameaças ou parecem estar executando sistemas mal configurados vulneráveis a explorações ou abusos, como bancos de dados abertos. Os cibercriminosos estão constantemente examinando a Internet em busca de bancos de dados expostos e outras vulnerabilidades, e quanto mais tempo um banco de dados permanecer exposto, maior o risco de que agentes mal-intencionados o descubram e explorem. Em determinadas circunstâncias, quando recebemos sinais que sugerem que uma organização terceirizada (que não seja cliente) pode ser comprometida por um agente de ameaças, também os notificamos porque isso pode ajudar a impedir novas explorações, o que promove uma Internet mais segura em geral.
Muitas vezes, quando alertamos clientes e outras pessoas sobre esses tipos de problemas, é a primeira vez que eles percebem que estão potencialmente comprometidos. Depois de notificarmos as organizações, elas podem investigar e determinar as etapas necessárias para se protegerem e ajudar a evitar incidentes que possam causar interrupções em sua organização ou permitir uma maior exploração. Nossas notificações geralmente também incluem recomendações de ações que as organizações podem tomar, como revisar registros de segurança de domínios específicos e bloqueá-los, implementar mitigações, alterar configurações, conduzir uma investigação forense, instalar os patches mais recentes ou mover a infraestrutura para trás de um firewall de rede. Essas ações proativas ajudam as organizações a evitar possíveis ameaças, em vez de apenas reagir após a ocorrência de um incidente.
Às vezes, os clientes e outras organizações que notificamos contribuem com informações que, por sua vez, nos ajudam a ajudar outras pessoas. Após uma investigação, se uma organização afetada nos fornecer indicadores relacionados de comprometimento (IOCs), essas informações poderão ser usadas para melhorar nossa compreensão de como ocorreu um comprometimento. Esse entendimento pode levar a ideias críticas que talvez possamos compartilhar com outras pessoas, que podem usá-las para tomar medidas para melhorar sua postura de segurança — um ciclo virtuoso que ajuda a promover a colaboração com o objetivo de melhorar a segurança. Por exemplo, as informações que recebemos podem nos ajudar a aprender como um ataque de engenharia social ou uma campanha específica de phishing foi usada para comprometer a segurança de uma organização ao instalar malware no sistema da vítima. Ou podemos receber informações sobre uma vulnerabilidade de dia zero que foi usada para cometer uma intrusão ou aprender como um ataque de execução remota de código (RCE) foi usado para executar códigos maliciosos e outros malwares para roubar os dados de uma organização. Podemos então usar e compartilhar essa inteligência para proteger os clientes e outros terceiros. Esse tipo de colaboração e resposta coordenada é mais eficaz quando as organizações trabalham juntas e compartilham recursos, inteligência e experiência.
3 exemplos da inteligência de ameaças de alta fidelidade da AWS em ação
Exemplo 1: Tomamos conhecimento de atividades suspeitas quando nossos sensores MadPot indicaram tráfego de rede incomum conhecido como retrodispersão (tráfego de rede potencialmente indesejado ou não intencional que geralmente está associado a um ataque cibernético) que continha IOCs conhecidos associados a uma ameaça específica que tentava se mover pela nossa infraestrutura. O tráfego da rede parecia estar se originando do espaço IP de uma grande organização multinacional do setor de serviços de alimentação e fluindo para a Europa Oriental, sugerindo uma possível exfiltração maliciosa de dados. Nossa equipe de inteligência de ameaças entrou em contato imediatamente com a equipe de segurança da organização afetada, que não era cliente da AWS. Eles já estavam cientes do problema, mas acreditavam que haviam resolvido e removido com sucesso a ameaça de seu ambiente de TI. No entanto, nossos sensores indicaram que a ameaça continuava e não era resolvida, mostrando que uma ameaça persistente estava em andamento. Solicitamos uma escalação imediata e, durante um telefonema noturno, o CISO da AWS compartilhou registros de segurança em tempo real com o CISO da organização afetada para mostrar que grandes quantidades de dados ainda estavam sendo exfiltradas de forma suspeita e que uma ação urgente era necessária. O CISO da empresa afetada concordou e contratou sua equipe de Resposta a Incidentes (IR), com a qual trabalhamos para impedir a ameaça com sucesso.
Exemplo 2: No início deste ano, a Volexity publicou uma pesquisa detalhando duas vulnerabilidades de dia zero no Ivanti Connect Secure VPN, resultando na publicação do CVE-2023-46805 (uma vulnerabilidade de desvio de autenticação) e do CVE-2024-21887 (uma vulnerabilidade de injeção de comando encontrada em vários componentes da web). A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um comunicado de segurança cibernética em 29 de fevereiro de 2024 sobre esse assunto. No início deste ano, as equipes de segurança da Amazon aprimoraram nossos sensores MadPot para detectar tentativas de agentes mal-intencionados de explorar essas vulnerabilidades. Usando informações obtidas pelos sensores MadPot, a Amazon identificou várias campanhas ativas de exploração direcionadas às VPNs vulneráveis do Ivanti Connect Secure. Também publicamos informações relacionadas no feed de vulnerabilidades e exposições comuns (CVE) do GuardDuty, permitindo que nossos clientes que usam esse serviço detectem e interrompam essa atividade se ela estiver presente em seu ambiente. (Para obter mais informações sobre as métricas do CVSS, consulte as métricas de vulnerabilidade do National Institute of Standards and Technology (NIST).
Exemplo 3: Na época em que a Rússia começou a invasão da Ucrânia em 2022, a Amazon identificou proativamente a infraestrutura que grupos de ameaças russos estavam criando para usar em campanhas de phishing contra serviços governamentais ucranianos. Nossas descobertas de inteligência foram integradas ao GuardDuty para proteger automaticamente os clientes da AWS e, ao mesmo tempo, fornecer as informações ao governo ucraniano para sua própria proteção. Após a invasão, a Amazon identificou IOCs e TTPs de agentes russos de ameaças cibernéticas que pareciam ter como alvo certas cadeias de suprimentos de tecnologia que poderiam afetar adversamente as empresas ocidentais que se opunham às ações da Rússia. Trabalhamos com os clientes-alvo da AWS para impedir atividades potencialmente prejudiciais e ajudar a evitar a interrupção da cadeia de suprimentos.
A AWS opera a infraestrutura de nuvem mais confiável do planeta, o que nos dá uma visão única do cenário de segurança e das ameaças que nossos clientes enfrentam todos os dias. Somos encorajados pela forma como nossos esforços para compartilhar nossa inteligência sobre ameaças ajudaram clientes e outras organizações a ficarem mais seguros, e estamos comprometidos em encontrar ainda mais maneiras de ajudar. As próximas postagens desta série incluirão outros tópicos de inteligência contra ameaças, como tempo médio de defesa, nossa ferramenta interna Sonaris e muito mais.