A AWS anunciou o Amazon GuardDuty Extended Threat Detection, um recurso que usa os recursos de IA/ML para aprimorar a detecção de ameaças para seus aplicativos, cargas de trabalho e dados. O GuardDuty Extended Threat Detection emprega IA/ML sofisticada para identificar sequências de ataque conhecidas e anteriormente desconhecidas, oferecendo uma abordagem mais abrangente e proativa para a segurança na nuvem. Essa melhoria aborda a crescente complexidade dos ambientes de nuvem modernos e a paisagem em evolução das ameaças de segurança, simplificando a detecção e a resposta a ameaças.

Muitas organizações enfrentam desafios para analisar e responder com eficiência ao alto volume de eventos de segurança gerados em seus ambientes de nuvem. Com o aumento da frequência e da sofisticação das ameaças de segurança, tornou-se mais desafiador detectar e responder de forma eficaz a ataques que ocorrem como sequências de eventos ao longo do tempo. As equipes de segurança geralmente lutam para juntar atividades relacionadas que podem ser parte de um ataque maior, possivelmente perdendo ameaças críticas ou respondendo tarde demais para evitar um impacto significativo.

Para solucionar esses desafios, expandimos os recursos de detecção de ameaças do GuardDuty para incluir novos recursos de IA/ML que correlacionam sinais de segurança para identificar sequências de ataque ativas em seu ambiente da AWS. Essas sequências podem incluir várias etapas executadas por um adversário, como descoberta de privilégios, manipulação de API, atividades de persistência e exfiltração de dados. Essas detecções são representadas como descobertas de sequência de ataque, um novo tipo de descoberta do GuardDuty com gravidade crítica. Anteriormente, o GuardDuty nunca havia usado a gravidade crítica, reservando esse nível para descobertas com a máxima confiança e urgência. Essas novas descobertas introduzem a gravidade crítica e incluem um resumo em linguagem natural da natureza e do significado da ameaça, atividades observadas mapeadas para táticas e técnicas da estrutura MITRE ATT&CK® e recomendações prescritivas de correção com base nas práticas recomendadas da AWS.

O GuardDuty Extended Threat Detection introduz novas descobertas de sequência de ataque e aprimora a capacidade de ação para detecções existentes em áreas como exfiltração de credenciais, elevação de privilégios e exfiltração de dados. Essa melhoria permite que o GuardDuty ofereça detecções compostas que abrangem várias fontes de dados, períodos de tempo e recursos dentro de uma conta, fornecendo uma compreensão mais abrangente de ataques sofisticados na nuvem.