iT邦幫忙

2025 iThome 鐵人賽

DAY 28
0
Build on AWS

AWS 雲原生,學起來比泡咖啡還快系列 第 28

DAY28 - 小李的威脅防護:AWS GuardDuty 智能保全系統

  • 分享至 

  • xImage
  •  

前情提要

自從上次的安全危機後,小李深刻體會到安全的重要性。在小張的協助下,他們成功部署了 AWS Inspector,就像為餐廳帝國安裝了專業的「建築安全檢查員」,定期檢查系統是否有漏洞。

但就在小李以為安全防護已經足夠時,一個深夜的異常事件讓他意識到,光有「建築檢查員」還不夠,他們還需要一個 24 小時不眠不休的「智能保全」...

第一章:深夜的異常警報

凌晨三點的電話

2024年4月的一個深夜,小李被手機鈴聲驚醒。看了看時間:凌晨 3:17。

「誰會在這個時候打電話?」小李迷迷糊糊地接起電話。

「小李先生,我是 AWS 技術支援的 David。我們偵測到您的帳戶有異常活動,建議您立即檢查。」

小李瞬間清醒:「什麼異常活動?」

「有人嘗試從俄羅斯的 IP 位址存取您的 S3 儲存桶,而且嘗試了多次不同的存取金鑰。雖然都被拒絕了,但這是典型的攻擊行為。」

小李的心跳加速:「我們的 Inspector 沒有發現這個問題啊!」

「Inspector 主要檢查系統漏洞,但這是即時的威脅攻擊,」David 解釋,「您需要的是 GuardDuty,它專門監控這類威脅行為。」

小張的緊急支援

小李立刻打電話給小張,雖然已經是深夜,但小張還是趕到了辦公室。

「這就是我一直想跟你提的,」小張一邊查看日誌一邊說,「Inspector 就像建築檢查員,檢查房子結構是否安全。但 GuardDuty 就像保全人員,監控是否有小偷想要闖入。」

小李焦急地問:「那我們現在怎麼辦?」

「首先,我們要啟用 GuardDuty,讓它開始監控。然後分析這次攻擊的詳細情況,確保沒有造成實際損害。」

攻擊事件分析

小張開始分析這次攻擊事件:

攻擊時間軸:

  • 02:45 - 第一次嘗試存取,來自俄羅斯 IP
  • 02:47 - 嘗試使用洩露的 AWS 金鑰
  • 02:52 - 嘗試暴力破解 S3 儲存桶權限
  • 03:15 - 攻擊停止(可能發現無法成功)

「幸好我們的 IAM 權限設定得當,攻擊者沒有成功,」小張說,「但如果我們有 GuardDuty,在 02:45 就會收到警報,而不是等到 AWS 技術支援發現。」

小李恍然大悟:「所以 GuardDuty 就像 24 小時的保全監控系統?」

「沒錯,而且是 AI 智能保全,能夠識別各種攻擊模式。」

第二章:認識 AWS GuardDuty - 「AI 智能保全系統」

什麼是 GuardDuty?

小張開始詳細解釋 GuardDuty:

「GuardDuty 就像一個超級智能的保全系統,它會分析你 AWS 環境中的所有活動,識別可疑行為。」

她在白板上畫了一個對比圖:

傳統保全 vs AI 保全

傳統保全:

  • 只能看到表面現象
  • 需要人工判斷
  • 容易疲勞和疏忽
  • 反應較慢

GuardDuty AI 保全:

  • 分析深層行為模式
  • 機器學習自動判斷
  • 24/7 不間斷監控
  • 即時反應和告警

GuardDuty 監控什麼?

「GuardDuty 會監控三大類資料來源,」小張解釋:

1. VPC Flow Logs(網路流量)
「就像監控餐廳的人員進出,看誰在什麼時候從哪裡來,要去哪裡。」

範例威脅:

  • 異常的網路連線
  • 來自惡意 IP 的流量
  • 資料外洩行為
  • 加密貨幣挖礦流量

2. DNS Logs(網域查詢)
「監控系統查詢了哪些網域,就像監控員工撥打了哪些電話號碼。」

範例威脅:

  • 連線到惡意網域
  • 殭屍網路通訊
  • 網域生成演算法(DGA)
  • DNS 隧道攻擊

3. CloudTrail Event Logs(API 呼叫)
「記錄所有 AWS API 的使用,就像監控誰使用了哪些鑰匙開了哪些門。」

範例威脅:

  • 異常的 API 呼叫模式
  • 權限提升攻擊
  • 資料竊取行為
  • 帳戶劫持

GuardDuty 的 AI 智能

「GuardDuty 最厲害的地方是它的機器學習能力,」小張說。

威脅情報整合:

  • AWS 自己的威脅資料庫
  • 第三方威脅情報來源
  • 全球客戶的匿名威脅資料

行為分析:

  • 學習正常的使用模式
  • 識別異常行為
  • 持續改進檢測能力

情境感知:

  • 考慮時間、地點、使用者
  • 分析攻擊鏈的完整路徑
  • 評估威脅的嚴重程度

第三章:GuardDuty 的威脅檢測實例

實例一:惡意 IP 攻擊檢測

小張展示了 GuardDuty 如何檢測剛才的攻擊:

威脅類型:UnauthorizedAPICall:IAMUser/MaliciousIPCaller.Custom
嚴重程度:HIGH (7.2/10)
描述:來自已知惡意 IP 的 API 呼叫

詳細資訊:
- 攻擊者 IP:185.220.xxx.xxx (俄羅斯)
- 目標資源:S3 儲存桶 'production-data'
- 使用的金鑰:AKIA...(已洩露金鑰)
- 攻擊時間:2024-04-15 02:45:23 UTC
- 威脅情報:此 IP 與 APT 組織相關

「你看,GuardDuty 不只告訴我們有攻擊,還提供了完整的攻擊資訊,」小張指出,「包括攻擊者的背景、使用的工具、攻擊目標等。」

實例二:內部威脅檢測

「GuardDuty 不只能檢測外部攻擊,還能發現內部威脅,」小張說。

威脅類型:Stealth:IAMUser/CloudTrailLoggingDisabled
嚴重程度:MEDIUM (5.8/10)
描述:使用者嘗試停用 CloudTrail 日誌記錄

詳細資訊:
- 使用者:john.doe@company.com
- 動作:StopLogging
- 時間:非正常工作時間(週日凌晨 2 點)
- 異常原因:該使用者從未執行過此類操作

「這可能是內部人員想要掩蓋某些行為,或者是帳戶被盜用,」小張分析。

實例三:加密貨幣挖礦檢測

威脅類型:CryptoCurrency:EC2/BitcoinTool.B!DNS
嚴重程度:HIGH (8.2/10)
描述:EC2 實例與已知的加密貨幣挖礦池通訊

詳細資訊:
- 受影響實例:i-1234567890abcdef0
- 挖礦池網域:pool.minergate.com
- 網路流量:異常高的出站流量
- 可能原因:惡意軟體感染或未授權使用

「這種攻擊很常見,」小張說,「攻擊者入侵系統後,利用我們的運算資源挖礦賺錢。」

實例四:資料外洩檢測

威脅類型:Exfiltration:S3/MaliciousIPCaller.Custom
嚴重程度:CRITICAL (9.1/10)
描述:大量資料被下載到可疑 IP 位址

詳細資訊:
- 資料量:500 GB
- 下載時間:凌晨 3-4 點(非正常時間)
- 目標 IP:位於中國的 VPN 服務
- 存取模式:異常的批量下載

「這是最嚴重的威脅類型,」小張嚴肅地說,「可能是資料竊取。」

第四章:GuardDuty 的告警和回應機制

告警分級系統

小張解釋 GuardDuty 的告警分級:

LOW (0.1 - 3.9)

  • 可疑但風險較低的活動
  • 可能是誤報
  • 建議:監控觀察

MEDIUM (4.0 - 6.9)

  • 明確的可疑活動
  • 需要調查
  • 建議:24 小時內處理

HIGH (7.0 - 8.9)

  • 高度可疑的惡意活動
  • 可能正在進行攻擊
  • 建議:4 小時內處理

CRITICAL (9.0 - 10.0)

  • 確認的惡意活動
  • 正在造成損害
  • 建議:立即處理

自動化回應設定

「我們可以設定自動化回應,讓系統在檢測到威脅時自動採取行動,」小張說。

EventBridge 整合:

{
  "Rules": [
    {
      "Name": "GuardDuty-High-Severity",
      "EventPattern": {
        "source": ["aws.guardduty"],
        "detail": {
          "severity": [7.0, 8.0, 9.0, 10.0]
        }
      },
      "Targets": [
        {
          "Id": "1",
          "Arn": "arn:aws:lambda:region:account:function:SecurityResponse"
        }
      ]
    }
  ]
}

自動回應動作:

  1. 隔離受感染的實例

    • 修改安全群組,阻斷所有流量
    • 建立快照保存證據
    • 通知安全團隊
  2. 停用被盜用的金鑰

    • 自動停用可疑的 IAM 金鑰
    • 強制使用者重新驗證
    • 記錄所有相關活動
  3. 阻斷惡意 IP

    • 更新 WAF 規則
    • 修改 NACL 設定
    • 通知其他系統

通知機制設定

小張展示了如何設定多層次的通知:

即時通知(Critical/High):

  • Slack 緊急頻道
  • 簡訊通知
  • 電話告警
  • PagerDuty 升級

定期報告(Medium/Low):

  • 每日安全摘要郵件
  • 週報彙整
  • 月度安全儀表板

通知範例:

🚨 GuardDuty 緊急告警

威脅等級:CRITICAL
檢測時間:2024-04-15 14:30:25 UTC
威脅類型:資料外洩攻擊

受影響資源:
- S3 儲存桶:production-customer-data
- 可疑 IP:203.0.113.xxx (中國)
- 資料量:1.2 TB

自動回應已啟動:
✅ 阻斷可疑 IP
✅ 停用相關存取金鑰
✅ 通知法務和合規團隊

需要人工處理:
❗ 評估資料洩露範圍
❗ 通知受影響客戶
❗ 準備事件報告

詳細資訊:https://console.aws.amazon.com/guardduty/...

第五章:威脅調查和鑑識分析

威脅調查流程

「當 GuardDuty 發現威脅時,我們需要進行詳細調查,」小張說,「就像警察調查案件一樣。」

調查步驟:

1. 初步評估

  • 確認威脅的真實性
  • 評估影響範圍
  • 判斷緊急程度

2. 證據收集

  • 保存相關日誌
  • 建立系統快照
  • 記錄網路流量

3. 攻擊路徑分析

  • 追蹤攻擊者的行為
  • 識別入侵點
  • 分析攻擊技術

4. 影響評估

  • 確定受影響的資源
  • 評估資料洩露風險
  • 計算業務損失

使用 Detective 進行深度調查

「對於複雜的威脅,我們可以使用 Amazon Detective,」小張介紹,「它就像 CSI 的科學鑑識工具。」

Detective 的功能:

  • 視覺化攻擊路徑
  • 關聯不同資料來源
  • 時間軸分析
  • 行為模式識別

調查範例:

攻擊事件:EC2 實例異常行為

Detective 分析結果:
1. 14:20 - 攻擊者透過 SSH 暴力破解成功登入
2. 14:25 - 下載惡意軟體
3. 14:30 - 建立後門帳戶
4. 14:35 - 嘗試橫向移動到其他實例
5. 14:40 - 開始資料收集
6. 14:45 - GuardDuty 檢測到異常並告警

事件回應計劃

小張強調建立標準事件回應計劃的重要性:

CRITICAL 威脅回應(15 分鐘內):

  1. 啟動緊急回應團隊
  2. 隔離受影響系統
  3. 保存證據
  4. 評估損害範圍
  5. 通知相關單位

HIGH 威脅回應(1 小時內):

  1. 指派調查人員
  2. 收集詳細資訊
  3. 分析攻擊手法
  4. 制定修復計劃
  5. 實施防護措施

MEDIUM 威脅回應(4 小時內):

  1. 記錄事件詳情
  2. 進行初步分析
  3. 評估是否需要升級
  4. 更新安全政策
  5. 加強監控

第六章:GuardDuty 的進階功能

Malware Protection

「GuardDuty 還有惡意軟體保護功能,」小張介紹,「可以掃描 EBS 卷中的惡意軟體。」

功能特色:

  • 無代理程式掃描
  • 不影響系統效能
  • 支援多種檔案格式
  • 整合威脅情報

掃描觸發條件:

  • GuardDuty 檢測到可疑活動
  • 手動觸發掃描
  • 定期排程掃描
  • API 自動觸發

掃描結果範例:

惡意軟體掃描報告

實例:i-1234567890abcdef0
掃描時間:2024-04-15 15:30:00 UTC
掃描檔案數:1,245,678
發現威脅:3 個

威脅詳情:
1. Trojan.Win32.Agent.xxx
   路徑:/tmp/malware.exe
   威脅等級:HIGH
   
2. Backdoor.Linux.Mirai.xxx
   路徑:/var/tmp/bot
   威脅等級:CRITICAL
   
3. Coinminer.Linux.XMRig.xxx
   路徑:/usr/bin/xmrig
   威脅等級:MEDIUM

Runtime Monitoring

「GuardDuty 還可以監控容器和 Lambda 的執行時行為,」小張說。

EKS Runtime Monitoring:

  • 監控容器內的惡意活動
  • 檢測權限提升攻擊
  • 識別異常的檔案存取
  • 發現網路異常行為

Lambda Protection:

  • 監控 Lambda 函數的執行
  • 檢測惡意程式碼注入
  • 識別異常的網路連線
  • 發現資料外洩行為

威脅情報整合

「GuardDuty 會持續更新威脅情報,」小張解釋。

威脅情報來源:

  • AWS 安全研究團隊
  • 第三方威脅情報供應商
  • 開源威脅情報
  • 客戶回饋資料

自訂威脅情報:

{
  "ThreatIntelSet": {
    "Name": "Company-Blacklist",
    "Format": "TXT",
    "Location": "s3://security-bucket/threat-intel/blacklist.txt",
    "Activate": true
  }
}

第七章:與其他安全服務的協作

完整的安全生態系統

小張展示了 AWS 安全服務的完整架構:

AWS 安全服務生態系統

預防層:
├── IAM (身份和存取管理)
├── WAF (Web 應用程式防火牆)
├── Shield (DDoS 防護)
└── Network Firewall (網路防火牆)

檢測層:
├── GuardDuty (威脅檢測) ← 我們現在在這裡
├── Inspector (漏洞掃描)
├── Config (配置監控)
└── CloudTrail (API 審計)

回應層:
├── Security Hub (統一管理)
├── Detective (調查分析)
├── Systems Manager (修復管理)
└── Incident Manager (事件管理)

Security Hub 整合

「Security Hub 是安全服務的中央控制台,」小張說,「它會收集所有安全服務的發現。」

整合效益:

  • 統一的安全儀表板
  • 標準化的發現格式
  • 自動化的工作流程
  • 合規性報告生成

Security Hub 儀表板範例:

安全狀況總覽

整體安全評分:85/100

服務狀況:
✅ GuardDuty:運行中,24 小時內 3 個發現
✅ Inspector:運行中,發現 12 個漏洞
⚠️ Config:部分合規,5 個配置問題
✅ CloudTrail:運行中,日誌完整

本週趨勢:
- 威脅檢測:↓ 15%(改善)
- 漏洞修復:↑ 30%(改善)
- 合規性:→ 持平

自動化安全工作流程

「我們可以建立自動化的安全工作流程,」小張展示。

範例工作流程:GuardDuty → Security Hub → 自動回應

SecurityWorkflow:
  Trigger: GuardDuty Finding (Severity >= 7.0)
  
  Steps:
    1. Security Hub 接收發現
    2. 評估威脅嚴重程度
    3. 自動隔離受影響資源
    4. 通知安全團隊
    5. 建立 JIRA 事件單
    6. 啟動調查流程
    7. 生成初步報告
    
  Notifications:
    - Slack: #security-alerts
    - Email: security-team@company.com
    - SMS: 緊急聯絡人

結語:建立主動防禦體系

小李的安全轉型

經過這次深入了解 GuardDuty,小李對網路安全有了全新的認識。

「我現在明白了,」小李說,「安全不是一個工具,而是一個完整的體系。Inspector 檢查漏洞,GuardDuty 監控威脅,Security Hub 統一管理,每個都有自己的角色。」

小張點頭:「沒錯,就像餐廳的安全體系一樣:」

  • 建築檢查員(Inspector):確保建築結構安全
  • 保全人員(GuardDuty):監控可疑人員和活動
  • 安全主管(Security Hub):統籌所有安全工作
  • 應急小組(Detective):調查安全事件

安全成熟度的提升

小張建議小李建立安全成熟度模型:

Level 1:基礎防護

  • 啟用基本安全服務
  • 設定基礎告警
  • 建立事件回應流程

Level 2:主動監控

  • 部署威脅檢測
  • 自動化回應機制
  • 定期安全評估

Level 3:智能防禦

  • 機器學習威脅檢測
  • 預測性安全分析
  • 零信任架構

Level 4:自適應安全

  • 自動化威脅獵捕
  • 動態風險評估
  • 持續安全改進

未來的安全規劃

小李開始規劃未來的安全改進:

短期目標(1 個月):

  • 完成 GuardDuty 部署
  • 建立基礎告警機制
  • 培訓安全團隊

中期目標(3 個月):

  • 整合 Security Hub
  • 建立自動化回應
  • 完善事件調查流程

長期目標(6 個月):

  • 實施零信任架構
  • 建立威脅獵捕能力
  • 獲得安全認證

給讀者的建議

如果你也想建立完整的威脅檢測體系,記住這些要點:

  1. 分層防禦:不要依賴單一安全工具
  2. 持續監控:威脅檢測需要 24/7 運行
  3. 快速回應:建立自動化回應機制
  4. 持續改進:根據威脅情報更新防護策略
  5. 團隊培訓:確保團隊具備安全意識和技能

「安全是一場永無止境的戰爭,」小張最後說,「但有了 GuardDuty 這樣的 AI 智能保全,我們至少不用孤軍奮戰。它會 24 小時不眠不休地保護我們的系統,讓我們能夠專注於業務發展。」

小李深有感觸地說:「從監控系統效能,到檢查安全漏洞,再到檢測威脅攻擊,我們的安全防護體系越來越完整了。現在我終於可以安心睡覺,知道有 AI 保全在守護我們的數位帝國。」


這個故事告訴我們,在現代的雲端環境中,威脅檢測是安全防護的重要一環。AWS GuardDuty 提供了強大的 AI 威脅檢測能力,但更重要的是建立完整的安全防護體系和快速回應機制。記住,最好的安全策略是預防和早期檢測,而不是事後補救。


上一篇
DAY27 - 小李的安全覺醒:AWS Inspector 守護餐廳帝國
下一篇
DAY29 - 小李的安全指揮中心:AWS Security Hub 統一管理平台
系列文
AWS 雲原生,學起來比泡咖啡還快29
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言