AWS對外揭露了內部運作已久的全球威脅情報系統MadPot,而這個系統已經被實際用於分析駭客行動情報,像是去年5月由國家資助的Volt Typhoon駭客行動,此外,MadPot作為蜜罐(Honeypots)系統,也成功誘捕到俄羅斯駭客組織Sandworm的行動。
MadPot主要功能有兩部分,第一是可用來發現並監控網路上的威脅活動,第二個主要功能則是在可能的情況下,干擾駭客威脅行動,以保護AWS用戶和其他網路使用者的安全。MadPot透過一系列監控程式和自動化功能,每天可以在全球範圍進行超過1億次的威脅探測,並且發現50萬次可被歸類為惡意活動的事件。
MadPot系統會收集大量的威脅情報資料進行關聯與分析,找出網路上可能發生的威脅活動,除了保護AWS網路免受已辨識威脅的攻擊外,也會向其他公司發出外部通訊。MadPot被視為一種蜜罐系統,可設置用於捕捉惡意攻擊者的誘餌,其所收集到的資訊,將有助於強化AWS雲端基礎設施的安全性。
透過整合資料和情報分析,MadPot資料能夠被轉為可執行的行動,並由自動化功能、安全人員採取進一步措施,AWS也會參照MadPot的資訊,對Amazon GuardDuty、AWS Shield和AWS網頁應用程式防火牆(WAF)等安全服務進行更新,並在Amazon Inspector中提供漏洞情報。
MadPot會在沙箱環境啟動捕獲的惡意軟體,並將不同技術的資訊連接成威脅模式,官方提到,當MadPot收集到足夠的資訊時,便會採取行動瓦解威脅,像是斷開惡意攻擊者的資源與AWS網路連接,或是更廣泛地與CERT、ISP、域名註冊組織或是政府機構分享資訊。MadPot會直接向網路託管網站發送自動請求,要求他們封鎖或是刪除參與惡意活動的用戶。
AWS在2023年第一季,就已經透過分析55億筆網際網路威脅感應器信號,還有15億筆網路探針的信號,阻止超過130萬次由殭屍網路發動的DDoS攻擊,並且與外部組織合作移除23萬次L7/HTTP(S) DDoS攻擊來源。MadPot藉由分析DDoS殭屍網路,封鎖相關IP位置,並與關聯的主機公司和域名註冊商聯絡,在3天內瓦解殭屍網路。
MadPot還辨識出名為Sandworm的威脅組織,該組織企圖利用WatchGuard網路安全設備的漏洞,MadPot即時捕獲Sandworm攻擊獲取額外細節,使WatchGuard能夠迅速採取行動。MadPot還被用來協助政府單位,成功阻止由國家支持的攻擊者Volt Typhoon,所發動針對關鍵基礎設施的網路間諜活動,提供資訊給美國政府進行安全研究和對策擬定。
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22