Amazon GuardDuty als intelligente Bedrohungserkennung in der audius secured AWS platform

Eine toolgestützte Bedrohungserkennung in IT-Systemen ist von zentraler Bedeutung, da diese das Verhalten der IT-Systeme analysiert, um Bedrohungen frühzeitig zu erkennen, bevor diese Schaden anrichten können. Hierbei ist es wichtig, auf verschiedene Arten von Bedrohungen zu achten. Einerseits gibt es beispielsweise Malware, die von Angreifern verwendet wird, um Daten zu stehlen oder das System zu zerstören. Hierbei kommt die Bedrohung von außerhalb des IT-Systems. Andererseits gibt es beispielsweise Fehlkonfigurationen und Schwachstellen, die eine Bedrohung innerhalb des IT-Systems darstellen, wie eine schwache Passwortrichtlinie. Die Bedrohungserkennung ist keine einfache Aufgabe für Unternehmen und bedarf der richtigen Tools, um im Bedrohungsfall angemessen agieren zu können. Tools verwenden hierbei verschiedene Methoden zur Erkennung:

• Signaturbasiert
• Verhaltensbasiert
• Künstliche Intelligenz und maschinelles Lernen

In unserer audius secured AWS platform haben wir Amazon GuardDuty als AWS-natives Tool zur Bedrohungserkennung implementiert, das auf alle der obengenannten Methoden zurückgreift. Amazon GuardDuty kombiniert Machine Learning und integrierte Bedrohungsinformationen von AWS und führenden Drittanbietern, um die AWS-Konten, Workloads und Daten vor Bedrohungen zu schützen. Die Informationen werden an den AWS Security Hub zur zentralen Sicherheits-Orchestrierung gesendet. Zusätzlich kann zur Ermittlung der Ursache Amazon Detective eingesetzt werden.

Die Grafik stellt die verschiedenen Bausteine von GuardDuty dar und zeigt einige Beispiele möglicher Bedrohungen auf: 

GuardDuty bietet insgesamt die folgenden Bausteine für die Bedrohungserkennung der AWS-Workloads an:

• S3 Protection (Überwachung und Profilierung von S3 Datenzugriffsereignissen und Konfigurationen) 
• Laufzeitüberwachung (Aktivitäten auf Host- und Betriebssystemebene von EKS, ECS und EC2) 
• Malware Schutz für EC2 & S3 (Scan der EBS-Volumes und S3 Buckets auf Malware)
• EKS Schutz (Überwachung der Aktivitäten auf der Steuerebene durch Analyse der EKS-Prüfungsprotokolle)
• RDS Schutz (Überwachung durch Machine Learning-Modelle und integrierte Bedrohungsdaten) 
• Lambda Schutz (Überwachung der Netzwerkaktivitäten der Lambda Functions)

Hierdurch können Bedrohungen direkt erkannt und die Fehler behoben beziehungsweise die Bedrohung beseitigt werden. Ein klassisches Beispiel für eine Bedrohung von Amazon S3 ist das Deaktivieren des „S3 Block Public Access“ bei einem S3-Bucket. Die GuardDuty S3 Protection erkennt diese Aktion direkt und sendet sie an den AWS Security Hub. Hier kann zusätzlich zur Effizienzsteigerung eine automatisierte Aktion eingerichtet werden, die den „S3 Block Public Access“ wieder aktiviert.

Durch die automatisierte Implementierung von Amazon GuardDuty per Pipeline in der audius secured AWS platform wird für alle AWS Accounts GuardDuty aktiviert. In Kombination mit dem AWS Security Hub können somit Compliance-Anforderungen wie PCI DSS und BSI C5 einfacher erfüllt werden. Eine Compliance-Anforderung des BSI C5 ist z. B. das Kriterium OPS-05 zum Schutz vor Schadprogrammen. Diese Anforderung besagt: „Cloud-Kunden stellen durch geeignete Kontrollen sicher, dass jene Ebenen des Cloud-Dienstes, die unter ihrer Verantwortung stehen, mit Sicherheitsprodukten zur Erkennung und Beseitigung von Schadprogrammen versehen sind.“ Diese geforderte Erkennung und Beseitigung deckt GuardDuty in Kombination mit dem Security Hub ab. Denn die Verwaltung der GuardDuty-Findings findet wie bereits erwähnt zentral über den AWS Security Hub statt, sodass der Security-Betrieb schnell, einfach und zentral abläuft. Somit steht ihrer Security und Compliance in unserer audius secured AWS platform nichts mehr im Wege! Bei Interesse oder Fragen melden Sie sich gerne bei uns.