引言

威胁情报的规模与影响

• 每天观察超过7亿次威胁互动

• 约4.5亿次可被归类为恶意行为

• 在过去12个月中：

• 成功检测并限制约270亿次对S3存储桶的未授权访问尝试

• 阻止了约2.7万亿次针对EC2上易受攻击服务的访问

• 发出约8万次takedown请求以瓦解恶意行为者的基础设施

三大核心威胁情报系统

1. MatPot蜜罐系统

MatPot是AWS的全球分布式蜜罐网络，是其威胁情报生产的核心系统之一。

技术特点

• 动态适应性：持续演化和改变策略

• 广泛覆盖：模拟数百种不同服务和协议

• 快速响应：平均90秒内可检测到探测，3分钟内发现主动利用

• 深度集成：与AWS Shield、WAF和GuardDuty等安全服务紧密结合

设计原则

1. 开发敏捷性

• 安全工程师和软件工程师协同开发

• 支持快速迭代和更新

2. 实验导向

• 内置实验能力

• 优化与威胁行为者的互动

3. 真实性和隐蔽性

• 难以被识别为蜜罐

• 平衡暴露度和真实性

4. 高质量数据采集

• 完善的互动分类系统

• 可信的威胁判定机制

5. 威胁工件处理

• 自动化的工件提取

• 安全的存储机制

2. Sonaris系统

Sonaris专注于检测和限制滥用扫描和利用尝试。

核心能力

• 与MatPot深度集成

• 高准确度的威胁识别

• 精确的干预机制

• 自动化的规则生成

应用场景

• 为AWS WAF提供托管规则

• 为Route 53 Resolver DNS防火墙提供规则

• 快速响应新型漏洞威胁

3. Mithra系统

Mithra是AWS基于神经网络的图模型系统，专门用于识别恶意域名。

技术规模

• 38亿个节点

• 480亿条边

关键优势

• 高精确度的恶意域名识别

• 领先外部威胁情报源数天到数月的预警能力

• 持续的自我学习和进化能力

威胁情报的生产方法

主动收集方法

AWS采用以下欺骗技术进行威胁情报收集：

1. 诱饵和陷阱

• 策略性暴露的信息和工件

• 针对性的服务模拟

• 精心设计的系统漏洞

2. 蜜标（Honey Tokens）

• 虚假但可信的数字实体

• 多样化的诱饵类型

• 预警触发机制

3. 蜜罐（Honeypots）

• 低交互蜜罐：用于大规模探测检测

• 高交互蜜罐：完整服务模拟

威胁情报处理流程