技术总监Darktrace Cyber AIAndrew Tsonchev照亮AWS云环境2020年5月22日星期五云平台改变了我们构建数字基础设施的方式，使我们能够为商业创造难以置信的创新环境，但通常，这是以可见性和控制为代价的。随着复杂的混合和多云基础设施成为日益多样化的数字产业的重要组成部分，向云的旅程从根本上改变了传统的网络周边模式，同时以惊人的速度扩大了攻击面。同时，传统的安全控制仍然只提供点解决方案，这些解决方案依赖于可追溯的规则和威胁签名，无法阻止新奇和先进攻击。到肩负着云安全的共同责任，组织需要Darktrace的企业免疫系统提供的方法。借助自学习的网络人工智能，企业免疫系统不断学习组织中每个用户、设备、虚拟机和容器的正常"生活模式"。通过积极开发对"自我"的定制理解，免疫系统可以识别指向高级攻击的细微异常，而不必预先定义"好"或"坏"的假设。随着越来越多的企业转向AWS来利用云基础设施的优势，AWS的可见性和安全性对AWS的数据获取至关重要。AWS VPC流量镜像的出现使Darktrace能够发现客户AWS环境中的盲点，确保我们的网络AI安全平台能够阻止任何类型的威胁。有了AI驱动的企业免疫系统保护您的AWS环境，您可以通过自信。自我-学习具有细粒度、实时可视性的网络人工智能VPC流量镜像使我们的自主学习AI能够访问细粒度数据包，允许企业免疫系统从原始数据中提取数百个特性，并为客户的AWS云环境构建丰富的行为模型。VPC traffic mirroring提供的对AWS环境底层结构的实时可见性有助于Darktrace Cyber AI"在职"学习，并随着业务的发展不断进行调整。Darktrace提供了唯一一个实时学习的安全解决方案，考虑到云。统一控制：在基础设施之间关联模式通过一种基本上独特的方法，企业免疫系统积极地将AWS和其他领域的活动关联起来，无论您的数字生态系统包括其他云环境、SaaS应用程序或任何范围的内部和外部基础设施。从威胁检测的角度来看，这是至关重要的，因为在组织的某个部分检测到的安全事件通常是更广泛的安全事件的一部分。这确保了云中的威胁不会孤立于对基础设施其余部分的监视，也不会在其他地方发生入侵时忽略对云安全的影响网络。中和复杂新颖的攻击性安全控制漏掉了针对云基础设施的新颖和高级攻击。VPC流量镜像支持Darktrace Cyber AI对组织的AWS环境的理解，任何可能表明潜在威胁的轻微变化都可以立即检测到。这使得企业免疫系统能够捕捉到各种基于云的攻击，从零日恶意软件到隐秘的内部威胁。"暗黑竞赛代表了基于人工智能的网络防御的新前沿。我们的团队现在已经在我们的SaaS应用程序和云容器中实现了全面的实时覆盖。"-拉斯维加斯市首席信息官it工作原理：使用VPC流量镜像分析AWS流量对于在IaaS模型中利用AWS的客户，Darktrace使用VPC流量镜像从镜像的VPC数据包中收集元数据，该探测器名为"V传感器"。vSensor捕捉实时流量，并有选择地将相关元数据转发到Darktrace云实例或本地探测器。从这里开始，企业免疫系统通过客户的混合和多云基础设施，将专有网络流量与云、电子邮件、网络和SaaS流量相关联分析人通过这种方式利用VPC流量镜像，免疫系统可以对客户AWS云环境下的流量进行深度包检测，包括应用层。从原始数据中提取出数百个特征，从数据流数量的高级度量到对等关系元数据，再到特定的应用层事件。这些特性允许暗黑赛博人工智能建立丰富的行为模型，让它了解组织的正常生活模式并检测恶意活动。重要的是，Darktrace能够从原始数据构建这些度量，而不是仅仅依赖于流日志，因为流日志不能提供所需的粒度级别或内部的实时事件连接。用于非硝基AWS实例，我们部署称为"操作系统传感器"的轻量级代理，这些代理将相关流量提供给本地vSensor，然后再传输到Darktrace云实例或本地探测器。一旦配置好，随着新实例的启动，操作系统传感器就可以轻松地进行缩放。Darktrace还提供了一个专门的操作系统传感器，可以在Docker和库伯内特斯。更富有AWS CloudTrail日志上下文除了使用VPC流量镜像分析数据外，企业免疫系统还监视AWS内的管理和数据事件。它是通过对AWS CloudTrail生成的日志文件的HTTP请求来实现的，CloudTrail监视来自所有AWS服务的事件，其中：EC2IAMS3VPCLambdaDifferent事件通过CloudTrail生成的类型由Darktrace根据动作类型和生成它的AWS服务进行分类。这些不同的类别在企业免疫系统的用户界面威胁可视化工具中显示为度量。这些信息用于提供与VPC中镜像流量相关的更丰富的上下文，以及客户整个数字中的所有云、网络、电子邮件和SaaS流量环境。黑暗种族AWS客户的部署场景对于IaaS环境，Darktrace在每个云环境中部署一个vSensor。在AWS环境中，vSensor通过AWS VPC流量镜像捕捉实时流量。接收vSensor处理数据并将其反馈给基于云的Darktrace实例。AWS客户还可以选择部署一个"Darktrace安全模块"，在API级别监视IaaS管理和数据事件，例如登录、编辑虚拟服务器或创建新的访问凭证。图1： 仅云部署场景—Darktrace管理主云探测器，它接收来自传感器的流量以及IaaS和/或SaaS中的连接器环境。为了混合IaaS部署，Darktrace将同样部署vsensor和OS传感器（视情况而定）。然后，来自AWS和任何其他云环境的云流量和事件数据将被输入到云中或本地网络中的暗色探测器。对于后一种情况，Darktrace将部署一个物理设备，通过一个SPAN端口或网络抽头接收实时网络流量，允许它在整个数字中关联模式生态系统。图2： 混合云部署场景，跨AWS、Azure和gcpf的多云基础设施用于混合SaaS部署，Darktrace将在物理或基于云的Darktrace探测器上部署特定于提供商的Darktrace安全模块，以及任何其他相关的vsensor和OS传感器。然后分析SaaS数据，并将其与AWS、其他云环境以及任何内部和外部网络物理之间的流量和用户行为关联起来基础设施图3： 一个混合的SaaS部署方案凭借赛博人工智能的深刻洞察力和强大的反应能力抵御云中的各种威胁，企业免疫系统是唯一行之有效的技术，可以阻止云端的各种网络威胁，包括：严重错误配置Sider威胁泄露的证书新颖先进的恶意软件密码暴力攻击数据外泄横向移动中间人攻击窃取违反政策的案例研究加密挖掘恶意软件无意中安装了一个来自DevOps初级工程师的错误跨AWS和Azure工作负载的跨国组织，利用Docker和Kubernetes等集装箱化系统。这位工程师不小心下载了一个包含crypto miner的更新，导致多个云产品受到感染系统。之后最初的感染，恶意软件开始向一个外部的命令和控制服务器信标，它立即被Darktrace发现。随着外部连接的建立和攻击任务指令的传递，加密恶意软件感染能够以机器速度迅速传播到组织的扩展云基础设施中，15岁以下感染20台云服务器秒。广泛的通过专有网络流量镜像查看组织的AWS环境是一个关键因素，使Darktrace Cyber AI能够识别攻击的规模。通过Darktrace提供的动态和统一的视图，该公司的安全团队能够在几分钟内（而不是数小时或几天）控制攻击。尽管攻击以机器速度移动，但通过利用VPC流量镜像等解决方案来持续分析云中的行为，Darktrace在足够早的时候就抓住了威胁，远远早于成本开始上升安装显影剂在保险集团滥用AWS云基础设施，DevOps的一位工程师试图在AWS中构建一个并行的备份基础设施，以复制该组织的数据中心生产系统