Introdotto in preview in occasione di AWS re:Invent a dicembre dello scorso anno, Amazon Web Services ha ora annunciato ufficialmente la disponibilità generale di Amazon Detective, un nuovo servizio di security che rende facile per i clienti condurre indagini più rapide ed efficienti sui problemi di sicurezza nei workload AWS.
Amazon Detective raccoglie automaticamente i dati di log dalle risorse del cliente e utilizza il machine learning, l’analisi statistica e la teoria dei grafi per costruire visualizzazioni interattive che aiutano i clienti ad analizzare, investigare e identificare rapidamente la causa primaria di potenziali problemi di sicurezza o attività sospette.
Non ci sono costi aggiuntivi o impegni iniziali per utilizzare Amazon Detective, spiega l’azienda, e i clienti pagano solo per i dati caricati da AWS CloudTrail, Amazon VPC (Virtual Private Cloud) Flow Logs e dai risultati di Amazon GuardDuty.
Quando i clienti affrontano un problema di sicurezza come credenziali compromesse o accesso non autorizzato a una risorsa, spiega Amazon, i securty team devono condurre un’indagine per comprendere la causa, valutare l’impatto e determinare i passaggi di remediation. Prima ancora che possa iniziare un’indagine, i clienti devono innanzitutto raccogliere e combinare terabyte di dati potenzialmente rilevanti da sistemi di monitoraggio della rete, delle applicazioni e della sicurezza e renderli disponibili in un modo che consenta ai loro analisti della sicurezza di dedurre anomalie correlate.
Per esplorare i dati, gli analisti si affidano a data scientist e ingegneri per trasformare domande apparentemente semplici in modelli matematici e query che possono aiutare a produrre risposte. I clienti quindi in genere creano dashboard personalizzate che gli analisti utilizzano per convalidare, confrontare e correlare i dati per giungere alle loro conclusioni. I team di sicurezza devono continuamente ristabilire le basi del comportamento normale, comprendere nuovi schemi di attività e rivisitare le configurazioni delle applicazioni man mano che risorse, account e applicazioni vengono aggiunti o aggiornati in un ambiente. Queste attività complesse e dispendiose in termini di tempo ostacolano la capacità dei team di sicurezza di indagare e rispondere rapidamente ai problemi di sicurezza.
Qui entra in gioco Amazon Detective, che aiuta i team di sicurezza a condurre indagini più rapide ed efficaci. Una volta abilitato, con pochi clic, nella AWS Management Console, Amazon Detective inizia automaticamente a estrarre e organizzare i dati da AWS CloudTrail, Amazon VPC Flow Log e Amazon GuardDuty, in un modello grafico che riassume i comportamenti delle risorse e le interazioni osservate nell’ambiente AWS di un cliente.
Utilizzando il machine learning, l’analisi statistica e la teoria dei grafi, Amazon Detective produce poi visualizzazioni su misura per aiutare i clienti a rispondere a domande quali “questa è una chiamata API insolita?” oppure “questo picco di traffico da questa istanza è previsto?” senza dover organizzare alcun dato o sviluppare, configurare e ottimizzare le proprie query e algoritmi.
Le visualizzazioni di Amazon Detective, informa ancora l’azienda, forniscono i dettagli, il contesto e una guida per aiutare gli analisti a determinare rapidamente la natura e la portata dei problemi identificati dai servizi di sicurezza AWS come Amazon GuardDuty e AWS Security Hub.
Il modello grafico e le analisi di Amazon Detective vengono continuamente aggiornati man mano che i nuovi dati diventano disponibili dalle risorse AWS di un cliente, permettendo ai team di sicurezza di dedicare meno tempo al costante cambiamento delle sorgenti di dati. In pratica, consentendo al servizio Amazon Detective di setacciare i dati, i team di sicurezza possono passare più rapidamente alla remediation.
Dan Plastina, Vice President for Security Services di AWS, ha dichiarato: ”Anche se i clienti ci raccontano che i loro team di sicurezza hanno gli strumenti e le informazioni per rilevare e risolvere i problemi in modo sicuro, spesso riconoscono di aver bisogno di aiuto quando si tratta di capire quale è stata la causa primaria di questi problemi. Raccogliere le informazioni necessarie per condurre indagini efficaci sulla sicurezza è tradizionalmente un processo oneroso, che può rendere impossibili analisi approfondite in realtà cruciali per le organizzazioni più piccole e mettere a dura prova le risorse per i team più grandi. Amazon Detective toglie tutto questo lavoro extra dalle spalle del cliente, permettendogli di concentrarsi sulla ricerca della causa primaria di un problema per garantire che non si ripeta”.
Amazon Detective è disponibile nelle regioni Stati Uniti orientali (N. Virginia), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Europa (Francoforte), Europa (Irlanda), Europa (Londra), Europa (Parigi), Europa (Stoccolma ), Asia-Pacifico (Mumbai), Asia-Pacifico (Seoul), Asia-Pacifico (Singapore), Asia-Pacifico (Sydney), Asia-Pacifico (Tokyo) e Sud America (San Paolo), con altre regioni in arrivo.
Maggiori informazioni sono disponibili sulle pagine del nuovo servizio AWS.
