Tại sự kiện AWS re:Invent vừa qua, Amazon Web Services, một công ty của Amazon.com, đã công bố Amazon Security Lake, một dịch vụ tự động tập trung dữ liệu bảo mật của tổ chức từ nguồn đám mây và tại chỗ vào một hồ dữ liệu chuyên biệt trong tài khoản AWS của khách hàng, giúp họ khai thác dữ liệu bảo mật nhanh hơn và hiệu quả hơn.
Amazon Security Lake quản lý dữ liệu trong suốt vòng đời dữ liệu, với các cài đặt lưu trữ dữ liệu tùy chỉnh, chuyển đổi dữ liệu bảo mật nhận được sang định dạng Apache Parquet hiệu quả và phù hợp với tiêu chuẩn mở Open Cybersecurity Schema Framework (OCSF), giúp dễ dàng tự động chuẩn hóa dữ liệu bảo mật từ AWS, đồng thời kết hợp dữ liệu này với hàng chục nguồn dữ liệu bảo mật doanh nghiệp được tích hợp sẵn của bên thứ ba.
Các nhà phân tích và kỹ sư bảo mật có thể sử dụng Amazon Security Lake để tổng hợp, quản lý và tối ưu hóa khối lượng lớn dữ liệu log và sự kiện riêng biệt, cho phép phát hiện, điều tra và ứng phó với các mối đe dọa nhanh hơn, nhằm giải quyết nhanh chóng, hiệu quả các vấn đề tiềm ẩn, đồng thời tiếp tục sử dụng các công cụ phân tích ưa thích của họ.
Khách hàng muốn giám sát tốt hơn hoạt động an ninh bảo mật trong toàn bộ tổ chức để chủ động xác định các mối đe dọa và lỗ hổng tiềm ẩn, đánh giá cảnh báo bảo mật, phản ứng phù hợp và giúp ngăn chặn các sự cố bảo mật trong tương lai. Để làm được điều này, hầu hết các tổ chức khai thác dữ liệu log và dữ liệu sự kiện từ nhiều nguồn khác nhau (ví dụ: ứng dụng, tường lửa và hệ thống định danh) chạy trên đám mây và tại chỗ, mỗi nguồn có định dạng dữ liệu riêng và thường không tương thích.
Để có thể hiểu rõ tình trạng an ninh bảo mật, như phát hiện việc truyền trái phép dữ liệu và thông tin nhạy cảm ra bên ngoài hoặc xác định phần mềm độc hại cài đặt trên các thiết bị của nhân viên, trước tiên các tổ chức phải tổng hợp và chuẩn hóa tất cả dữ liệu này thành một định dạng nhất quán. Sau khi đã có định dạng nhất quán, khách hàng có thể phân tích dữ liệu để hiểu rõ hiện trạng an ninh bảo mật, sau đó phối hợp và theo dõi các mối đe dọa để cải thiện khả năng giám sát.
Trong mỗi tình huống cụ thể, chẳng hạn như ứng phó sự cố và phân tích bảo mật, khách hàng thường sử dụng các giải pháp bảo mật khác nhau, khiến cho cùng một dữ liệu có thể được sao chép và xử lý nhiều lần vì mỗi giải pháp có định dạng và phương thức lưu trữ dữ liệu riêng. Các tác vụ này làm lãng phí thời gian và chi phí, làm chậm khả năng phát hiện và phản ứng trước các vấn đề của đội ngũ an ninh bảo mật.
Khi khách hàng bổ sung thêm người dùng, công cụ và nguồn dữ liệu mới, đội ngũ an ninh bảo mật cũng phải dành thời gian quản lý tập hợp phức tạp các quy tắc truy cập dữ liệu và chính sách bảo mật để theo dõi cách thức sử dụng dữ liệu và đảm bảo các đối tượng có thể nhận được thông tin cần thiết. Một số nhóm an ninh bảo mật tạo ra kho lưu trữ trung tâm cho tất cả dữ liệu bảo mật trong một hồ dữ liệu, nhưng các hệ thống này đòi hỏi phải có kỹ năng chuyên môn và có thể mất nhiều tháng để xây dựng do số lượng lớn dữ liệu log từ các nguồn khác nhau, dung lượng có thể lên tới hàng petabyte.
Amazon Security Lake là một hồ dữ liệu bảo mật chuyên biệt, có thể được tạo ra chỉ trong vài bước, cho phép khách hàng tổng hợp, chuẩn hóa và lưu trữ dữ liệu để có thể ứng phó nhanh hơn trước các sự kiện bảo mật bằng các công cụ ưa thích quen thuộc. Sau khi thiết lập và kết nối với các nguồn dữ liệu được chọn, Amazon Security Lake sẽ tự động xây dựng một hồ dữ liệu bảo mật trong khu vực (region) do khách hàng lựa chọn, giúp khách hàng đáp ứng các yêu cầu tuân thủ về dữ liệu theo khu vực.
Sau khi khách hàng chọn nguồn dữ liệu, Amazon Security Lake tự động tổng hợp và chuẩn hóa dữ liệu từ AWS, kết hợp với các nguồn bên thứ ba có hỗ trợ OCSF (một tiêu chuẩn mở) và tối ưu hóa dữ liệu thành định dạng dễ lưu trữ và truy vấn. Amazon Security Lake tự động điều phối quy trình toàn diện từ bước tạo hồ dữ liệu và tổng hợp dữ liệu đến chuẩn hóa và tích hợp. Dịch vụ mới này xây dựng hồ dữ liệu bảo mật bằng cách sử dụng các dịch vụ Amazon Simple Storage Service (Amazon S3) và AWS Lake Formation để tự động thiết lập hạ tầng hồ dữ liệu bảo mật trong tài khoản AWS của khách hàng, cung cấp quyền kiểm soát và quyền làm chủ hoàn toàn đối với dữ liệu bảo mật.
Khi dữ liệu được nhập và chuẩn hóa, khách hàng có thể sử dụng các công cụ bảo mật và phân tích ưa thích của họ, bao gồm Amazon Athena, Amazon OpenSearch và Amazon SageMaker, cùng với các giải pháp hàng đầu của bên thứ ba (ví dụ: IBM, Splunk hoặc Sumo Logic) để có thể thực hiện các phân tích sâu rộng hơn trên các nguồn dữ liệu trên AWS và từ hơn 50 bên thứ ba (ví dụ: Cisco, CrowdStrike và Palo Alto Networks) và các nguồn dữ liệu của chính khách hàng. Do đó, dịch vụ Amazon Security Lake giúp khách hàng cải thiện tình trạng bảo mật tổng thể, cung cấp khả năng hiển thị giám sát tốt hơn cho đội ngũ an ninh bảo mật để xác định và tìm hiểu các sự kiện, giảm thời gian giải quyết các vấn đề bảo mật.
Amazon Security Lake hiện đã có bản preview tại các Khu vực AWS Đông Mỹ (N. Virginia), Đông Mỹ (Ohio), Tây Mỹ (Oregon), Châu Á Thái Bình Dương (Sydney), Châu Á Thái Bình Dương (Tokyo), Châu Âu (Frankfurt) và Châu Âu (Ireland), và sẽ sớm có thêm ở các Khu vực AWS khác.