Amazon Web Services Inc. ha proporcionado detalles de un conjunto de herramientas internas hasta ahora desconocidas, conocidas internamente como «MadPot», que la compañía está utilizando para detectar y frustrar con éxito miles de ciberataques.
MadPot tiene sus orígenes a finales de la década de 2010 y utiliza la inteligencia recopilada de una amplia gama de sensores desplegados en toda la infraestructura de AWS. Supervisa y analiza interacciones de amenazas potenciales en tiempo real para garantizar la seguridad e integridad de su red y sus clientes. El servicio se creó para lograr dos cosas: descubrir y monitorizar las actividades de las amenazas e interrumpir las actividades dañinas siempre que sea posible para proteger a los clientes de AWS y a los demás.
Según Mark Ryland, director de la Oficina del CISO de AWS, MadPot ha crecido hasta convertirse en un sofisticado sistema de sensores de monitorización y capacidades de respuesta automatizada. Se dice que los sensores observan cada día más de 100 millones de interacciones y sondas de amenazas potenciales, de las que unas 500.000 actividades observadas avanzan hasta el punto de poder clasificarse como maliciosas.
MadPot ingiere, correlaciona y analiza los datos de inteligencia sobre amenazas para ofrecer información procesable sobre las actividades potencialmente dañinas que se producen en Internet. El servicio también incluye capacidades de respuesta para proteger automáticamente la red de AWS de las amenazas identificadas y generar comunicaciones salientes a otras empresas cuya infraestructura se esté utilizando para actividades maliciosas.
Cualquier servicio o conjunto de herramientas de cualquier empresa es tan bueno como sus resultados, y los de MadPot son objetivamente impresionantes. Según Ryland, MadPot ha desempeñado un papel decisivo en la identificación y neutralización de innumerables ciberamenazas.
En un ejemplo, MadPot detectó y analizó una red de bots de denegación de servicio distribuida que utilizaba un dominio específico para el mando y control. Según la empresa, identificó la amenaza, las direcciones IP utilizadas por los servidores y se coordinó con las entidades de alojamiento pertinentes para neutralizarla rápidamente. MadPot también ha identificado las actividades del conocido grupo de amenazas Sandworm, lo que ha permitido adoptar medidas de mitigación a tiempo.
Otro logro de MadPot fue la identificación de Volt Typhoon, un supuesto agente de amenazas patrocinado por el Estado chino que apareció por primera vez en mayo. A través de la investigación, MadPot identificó firmas únicas vinculadas a las actividades de este grupo, ayudando a los esfuerzos de asesoramiento en ciberseguridad del gobierno estadounidense.
En el primer trimestre del año, MadPot procesó 5.500 millones de señales de sensores de amenazas de Internet y 1.500 millones de señales de sondas de red activas de AWS, y consiguió detener 1,3 millones de ataques distribuidos de denegación de servicio impulsados por bots. Los datos recopilados por MadPot, incluidos casi 1.000 hosts de botnets de mando y control, se compartieron con los proveedores de alojamiento y registros de dominios pertinentes.
Fuente WEB/AWS | Editado por CambioDigital OnLine
