Motor de análisis de detección de malware de GuardDuty - Amazon GuardDuty

Motor de análisis de detección de malware de GuardDuty

Amazon GuardDuty cuenta con un motor de análisis creado y administrado internamente y un proveedor externo. Ambos utilizan indicadores de peligro (IoC) procedentes de varias fuentes internas que tienen visibilidad sobre diferentes tipos de malware que pueden tener como objetivo AWS. GuardDuty también tiene definiciones de detección basadas en reglas YARA agregadas por nuestros ingenieros de seguridad, así como detecciones basadas en modelos heurísticos y de machine learning (ML). Al escanear objetos de Amazon S3, la protección contra malware de GuardDuty produce resultados consistentes al escanear el mismo objeto varias veces con las mismas definiciones y motores de análisis. La detección basada en firmas no se limita a la coincidencia de bytes, sino que también incluye fragmentos de código potencialmente complejos, lo que permite al escáner analizar el contenido y tomar decisiones.

El motor de análisis de malware no realiza análisis de comportamiento en vivo, en los que la detonación de malware supervisa la muestra mientras se ejecuta en un sistema real. La solución de GuardDuty es principalmente una detección basada en archivos. Para detectar malware sin archivos, GuardDuty ofrece una solución basada en agentes, como Supervisión en tiempo de ejecución para Amazon EKS, Amazon EC2 y Amazon ECS (incluido AWS Fargate).

Sin restricción en los formatos de archivo que GuardDuty analiza en busca de malware, los motores de análisis que utiliza pueden detectar diferentes tipos de malware, como criptomineros, ransomware y webshells. El motor de análisis de GuardDuty, completamente administrado, actualiza continuamente la lista de firmas de malware cada 15 minutos.

El motor de análisis forma parte del sistema de inteligencia de amenazas de GuardDuty, que utiliza un componente interno de detonación de malware. Esto permite generar nueva inteligencia sobre amenazas mediante la recopilación autónoma de muestras de malware y archivos benignos provenientes de diversos orígenes. El tipo de IoC de hash de archivo del sistema de inteligencia de amenazas se integra además con el motor de análisis de malware para detectar malware basado en hashes de archivos maliciosos conocidos.