AWS ha anunciado la Detección Extendida de Amenazas de Amazon GuardDuty, una función que utiliza capacidades de IA/ML para mejorar la detección de amenazas para sus aplicaciones, cargas de trabajo y datos. La Detección Extendida de Amenazas de GuardDuty emplea IA/ML sofisticada para identificar secuencias de ataque conocidas y previamente desconocidas, ofreciendo un enfoque más completo y proactivo para la seguridad en la nube. Esta mejora aborda la creciente complejidad de los entornos de nube modernos y el panorama en evolución de las amenazas de seguridad, simplificando la detección y respuesta a las amenazas.

Muchas organizaciones se enfrentan a desafíos para analizar y responder de manera eficiente al alto volumen de eventos de seguridad generados en sus entornos de nube. Con la creciente frecuencia y sofisticación de las amenazas de seguridad, se ha vuelto más desafiante detectar y responder eficazmente a los ataques que ocurren como secuencias de eventos a lo largo del tiempo. Los equipos de seguridad a menudo tienen dificultades para reconstruir actividades relacionadas que podrían ser parte de un ataque mayor, lo que podría ocasionar que se pierdan amenazas críticas o que se responda demasiado tarde para evitar un impacto significativo.

Para abordar estos desafíos, hemos ampliado las capacidades de detección de amenazas de GuardDuty para incluir nuevas capacidades de IA/ML que correlacionan las señales de seguridad para identificar secuencias de ataque activas en su entorno de AWS. Estas secuencias pueden incluir múltiples pasos dados por un adversario, como el descubrimiento de privilegios, la manipulación de API, las actividades de persistencia y la exfiltración de datos. Estas detecciones se representan como hallazgos de secuencia de ataque, un nuevo tipo de hallazgo de GuardDuty con gravedad crítica. Anteriormente, GuardDuty nunca había utilizado la gravedad crítica, reservando este nivel para hallazgos con la máxima confianza y urgencia. Estos nuevos hallazgos introducen la gravedad crítica e incluyen un resumen en lenguaje natural de la naturaleza y el significado de la amenaza, actividades observadas mapeadas a tácticas y técnicas del marco MITRE ATT&CK®, y recomendaciones de remediación prescriptivas basadas en las mejores prácticas de AWS.

La Detección Extendida de Amenazas de GuardDuty introduce nuevos hallazgos de secuencia de ataque y mejora la capacidad de acción para las detecciones existentes en áreas como la exfiltración de credenciales, la escalada de privilegios y la exfiltración de datos. Esta mejora permite a GuardDuty ofrecer detecciones compuestas que abarcan múltiples fuentes de datos, períodos de tiempo y recursos dentro de una cuenta, lo que le proporciona una comprensión más completa de los ataques sofisticados en la nube.