关键字: [Amazon Web Services re:Invent 2023, CrowdStrike Falcon, Cloud Security, Cloud Attack, Cloud Threat, Cloud Protection, Cloud Defense]

本文字数: 1300, 阅读完需: 6 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1kj41157Bt

导读

加入本论坛，了解具有云意识的对手的当前状态，以及如何提高安全态势。了解 CrowdStrike 和 Bionic 如何合作提供一个从代码到运行时的平台，为您的整个云环境（从基础设施到其中的应用程序）提供风险洞察和防御。该解决方案可提供全方位的云安全保护，包括云工作负载保护、云安全态势管理、云基础设施授权管理和应用程序安全态势管理。本讲座由亚马逊云科技合作伙伴 CrowdStrike 为您带来。

演讲精华

以下是小编为您整理的本次演讲的精华，共1000字，阅读时间大约是5分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

作为CrowdStrike的方案架构师，Rob Solomon首先介绍了他的背景，他曾长期在亚马逊云科技工作。由于同事Brett Shaw因病无法出席，他代表同事发表了讲话。Rob表示，在目睹许多客户在迁移到云端多年后仍难以巩固其云安全策略后，他加入了CrowdStrike。他希望借助此次会议，帮助观众加速实现强大的云安全防护。

Rob接着分享了一些令人震惊的数据，这些数据来自于CrowdStrike的年度云威胁报告和全球威胁报告。随着网络对手认识到针对云中的工作负载的价值，云利用已经实现了95%的年度同比增长。事实上，专门针对云环境发起的攻击已经激增了288%。由于越来越多的组织将关键任务应用托管在云端，攻击者正积极寻求渗透这些工作负载并窃取有价值数据的方法。

一个特别令人担忧的指标是，攻击者在获得初始立足点后平均仅需79分钟就能实现横向移动。这意味着有一个短暂的窗口期来识别攻击，了解发生了什么，并采取响应措施加以控制。一旦敌人能够在环境中横向移动，处理局势会变得非常困难。在某些情况下，CrowdStrike观察到从初始访问到完全控制只需要7分钟的时间。这几乎没有给安全团队做出反应的时间，强调了需要能够迅速采取行动的自动化保护的必要性。

Rob解释道，随着时间的推移，许多客户已经在不同方面的云安全上投资了孤立的点解决方案，例如针对不同操作系统、环境和云服务的工具。虽然本意是想提供深度防御，但这些孤岛不幸的是创造了攻击者乐于利用的漏洞。

有人尝试通过将各种数据输入SIEM系统以匹配规则来进行关联和分析，以期解决这一问题。然而，这种方法需要大量定制化工作，仍可能导致误报过多，从而降低响应速度。此外，安全分析师在调查过程中需要在多个监控界面和仪表盘间切换，进一步影响他们的快速反应能力。

因此，CrowdStrike采用了以竞争对手为核心的安全策略，而不仅仅是关注特定的恶意软件特征或标志。通过对MITRE ATT&CK框架以及现实世界威胁行为者的战术、技术和程序进行分析，他们能够检测出新兴威胁，甚至包括规避传统基于特征防御的零日攻击。

接下来，Rob概述了一些当前流行的云计算攻击策略：

• 访问中介者在暗网上出售窃取的凭据，使得攻击者可以轻易地使用被盗身份登录云环境。即使使用了多重身份验证，也可以通过暴力破解攻击或用户在批准过程中的多因素认证疲劳来规避。

• 加密货币挖矿涉及到攻击者部署计算资源（如GPU实例）以开采加密货币。例如，一天内增加8000美元的亚马逊云科技费用，通过运行25个xlarge实例实现。

• 互联网上仍存在旧的漏洞，如命令注入，仍在被攻击者利用。他们通过这些漏洞获取云凭证并在内部进行切换。

• 元数据服务被用于查询云资源（如EC2实例）的凭证。攻击者利用这些凭证创建后门并保持持续性。在一场演示中，演讲者仅通过一个简单的curl命令就揭示了可用于提升权限的亚马逊云科技访问密钥、机密密钥和令牌。

• 生成性人工智能使得创建针对云数据的复杂攻击负载变得容易。演讲者展示了一个示例，仅需30秒就能制作出针对云数据的勒索软件。

• 容器逃逸是通过Tomcat等运行时漏洞实现的，允许攻击者建立一个立足点并进行横向移动。统计数据显示，20%的云基础设施攻击涉及暴露在外的易受攻击的Web应用。

罗伯详细地阐述了他如何运用云原生传感器和无代理监控手段来防范攻击者的入侵。他通过利用已知的CVE（通用漏洞和攻击）在短短数秒内成功获取Shell访问权限，并向观众展示了一个针对易受攻击的Tomcat容器所进行的实时攻击演示。接着，他向大家展示了Falcon在不同阶段如何有效地阻断病毒链条。一旦攻击者试图关闭日志记录功能或下载横向传播工具，传感器便会立即察觉并终止相关进程。罗伯同时还展示了漏洞管理等功能如何根据客户环境的特定风险对补丁进行优先级排序。此外，应用程序安全状况管理等功能能够揭示云原生应用架构中因频繁变动而产生的安全风险。罗伯举了一个生动的案例，帮助一家领先的旅行公司发现并修复了一个可能导致客户个人信息泄露的不安全API。最后，罗伯给出了一系列建议，以保障云环境的安全性：保持基本的安全措施，注重资产的发现与状态管理；将身份认证和最小权限原则作为首要任务；在从终端到云端的过程中整合安全数据；保护从端点到云端的整个计算栈；利用实际操作培训与风险评估以确保配置始终保持最新。他强调，随着企业逐步采用云计算服务，威胁将会不断演变。单一的解决方案可能会导致危险的盲区，同时也可能产生难以处理的误报。CrowdStrike Falcon 在混合环境下实现了统一的可见性与控制，借助人工智能技术协助繁忙的安全团队更专注于实际的攻击行为。通过采用以敌人为核心的策略，CrowdStrike 有能力阻止复杂的安全威胁，并在其发展过程中简化云安全领域的工作。

下面是一些演讲现场的精彩瞬间：

罗伯特·所罗门（Rob Solomon），一位前亚马逊云科技（Amazon Web Services）的解决方案架构师，分享了他帮助客户迁移至亚马逊云科技后的经验，以制定有效的云安全策略。

领导者们强调，通过模糊安全性或临时工作负载并不能保护用户免受正在寻找漏洞的对手的伤害。

他们讨论了对手如何部署昂贵的GPU实例进行加密挖矿，导致客户支付意想不到的高额费用。

他们强调了持续动态发现和自动云资产护栏的重要性，以防止对手隐藏。

他们还展示了攻击者如何利用元数据查询来获取凭据并在环境中横向移动。

亚马逊云科技（Amazon Web Services）的安全系统能够立即检测和阻止恶意wget进程，展示了亚马逊云科技的先进威胁检测和响应功能的有效性。

要参加免费的云安全挑战，以获得您云环境的风险评估和1000美元的亚马逊云科技（Amazon Web Services）信贷，请报名。

总结

这段视频探讨了CrowdStrike如何协助客户加强云端安全。首先指出的是，云计算环境中的威胁正不断增长，攻击者利用错误或泄露的凭据和配置漏洞展开攻击的速度越来越快。随后，演讲者展示了一些常见的云攻击策略，例如加密挖矿、命令注入以及利用人工智能生成的恶意代码。他强调，如果不采取积极的防护措施，攻击者很快便可能获取访问权限并进行横向渗透。接着，视频展示了CrowdStrike的Falcon平台如何检测并对针对易受攻击的容器应用程序的样本攻击作出回应。该平台能够实时识别并阻止敌人的行动。同时，还提供相关的背景信息，如受影响的资源和错误配置，从而加快应急响应速度。最后，演讲者概括了CrowdStrike的一系列云安全产品，包括云工作负载保护、云安全状况管理和应用安全状况管理（通过收购实现）。他最后给出了一些建议，如实施基本的云安全实践、优先考虑身份和访问管理以及采用端到端集成解决方案。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134819872

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。