AWS는 애플리케이션, 워크로드 및 데이터에 대한 위협 감지를 개선하기 위해 AI/ML 기능을 사용하는 Amazon GuardDuty Extended Threat Detection을 발표했습니다. GuardDuty Extended Threat Detection은 정교한 AI/ML을 사용하여 알려진 공격 시퀀스와 이전에 알려지지 않은 공격 시퀀스를 모두 식별하여 클라우드 보안에 대한 보다 포괄적이고 사전 예방적인 접근 방식을 제공합니다. 이러한 향상된 기능은 최신 클라우드 환경의 복잡성 증가와 보안 위협 환경의 변화를 해결하여 위협 감지 및 대응을 간소화합니다.

많은 조직이 클라우드 환경에서 생성되는 대량의 보안 이벤트를 효율적으로 분석하고 대응하는 데 어려움을 겪고 있습니다. 보안 위협의 빈도와 정교함이 증가함에 따라 시간이 지남에 따라 발생하는 일련의 이벤트로서 공격을 효과적으로 감지하고 대응하는 것이 더욱 어려워졌습니다. 보안 팀은 종종 더 큰 공격의 일부일 수 있는 관련 활동을 하나로 모으는 데 어려움을 겪고 있으며, 중요한 위협을 놓치거나 심각한 영향을 방지하기 위해 너무 늦게 대응할 가능성이 있습니다.

이러한 문제를 해결하기 위해 AWS는 GuardDuty의 위협 감지 기능을 확장하여 AWS 환경에서 활성 공격 시퀀스를 식별하기 위해 보안 신호를 연결하는 새로운 AI/ML 기능을 추가했습니다. 이러한 시퀀스에는 권한 검색, API 조작, 지속성 활동 및 데이터 유출과 같이 공격자가 수행하는 여러 단계가 포함될 수 있습니다. 이러한 감지는 심각도가 높은 새로운 유형의 GuardDuty 감지인 공격 시퀀스 감지로 표시됩니다. 이전에 GuardDuty는 심각도가 높은 감지를 사용하지 않았으며, 이 수준을 최대한의 확신과 긴급성을 가진 감지를 위해 예약했습니다. 이러한 새로운 감지는 심각도가 높은 감지를 도입하고 위협의 특성과 중요성에 대한 자연어 요약, MITRE ATT&CK® 프레임워크에서 얻은 전술 및 기술에 매핑된 관찰된 활동, AWS 모범 사례를 기반으로 하는 규범적 수정 권장 사항을 포함합니다.

GuardDuty Extended Threat Detection은 새로운 공격 시퀀스 감지를 도입하고 자격 증명 유출, 권한 에스컬레이션 및 데이터 유출과 같은 영역에서 기존 감지에 대한 조치 가능성을 개선합니다. 이러한 향상된 기능을 통해 GuardDuty는 계정 내 여러 데이터 소스, 기간 및 리소스에 걸쳐 복합 감지를 제공하여 정교한 클라우드 공격에 대한 보다 포괄적인 이해를 제공합니다.