Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่คุ้มค่าที่สุด

บทความนี้แปลมาจากบทความภาษาญี่ปุ่นที่ชื่อว่า 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた โดยเจ้าของบทความนี้คือ คุณ 臼田佳祐

ในบรรดาบริการของ AWS มีหลายบริการที่ 'จำเป็นสำหรับทุกคน' แต่ในบรรดาบริการเหล่านั้น GuardDuty ที่เปิดตัวในงาน re:Invent 2017 คือบริการตรวจจับภัยคุกคามที่ดีที่สุด (นี่เป็นความเห็นส่วนตัวของผม)

เพียงแค่เปิดใช้งาน GuardDuty คุณก็สามารถตรวจจับการโจมตีที่มีต่อบริการที่คุณใช้งานอยู่ เช่น EC2 และ ALB รวมถึงการโจมตีต่อบัญชี AWS เองได้ ไม่ต้องยุ่งยาก! โดยเฉพาะอย่างยิ่ง สามารถตรวจจับสิ่งต่อไปนี้ได้

• การขุดเหรียญคริปโต (Coin Mining)
• การโจมตีแบบ Brute Force ผ่าน SSH/RDP
• การล็อกอินที่ผิดปกติของผู้ใช้ IAM
• การติดต่อสื่อสารกับเซิร์ฟเวอร์ C&C (Command and Control)
• การสแกนพอร์ต (Port Scan)
• การใช้ credential ที่มีการหลุดของข้อมูล

โดยปกติแล้วจำเป็นต้องตรวจสอบและวิเคราะห์ความสัมพันธ์ของ log ต่างๆ มากมาย แต่ GuardDuty จะจัดการส่วนนั้นให้ด้วยการเรียนรู้ของเครื่อง (Machine Learning) อย่างเหมาะสม

ผู้ใช้เพียงแค่รับผลการตรวจจับที่ GuardDuty ค้นพบเท่านั้น ยอดเยี่ยมมาก!

แม้ว่า GuardDuty จะเป็นบริการที่ 'จำเป็นสำหรับทุกคน' แต่จากประสบการณ์การทำงานของผม ยังพบว่ามีบัญชีจำนวนมากที่ยังไม่ได้เปิดใช้งาน

อาจมีหลายปัจจัย แต่หนึ่งในนั้นคือความเข้าใจผิดของผู้ใช้และเรื่องค่าใช้จ่าย

สำหรับผู้ที่คิดว่าสภาพแวดล้อมของคุณไม่จำเป็นต้องเปิดใช้งาน GuardDuty

เป็นแค่ระบบขนาดเล็กที่ไม่ได้จัดการข้อมูลสำคัญอะไรมาก ไม่จำเป็นต้องใช้ GuardDuty หรอก

ตราบใดที่คุณใช้ AWS เรื่องแบบนั้นเป็นไปไม่ได้

หนึ่งในแง่มุมของการรักษาความปลอดภัยคือการปกป้องข้อมูลที่ควรปกป้องอย่างแน่นหนา แต่ในทางกลับกัน สภาพแวดล้อมที่ไม่ได้จัดการข้อมูลลูกค้าหรือสภาพแวดล้อมสำหรับทดสอบมักถูกละเลย

อย่างไรก็ตาม เมื่อการโจมตีบัญชี AWS สำเร็จครั้งหนึ่ง สิ่งที่เกิดขึ้นไม่ใช่การขโมยข้อมูล แต่เป็นการขุดเหรียญคริปโตอย่างหนัก

EC2 จะถูกสร้างขึ้นในภูมิภาคที่ไม่ค่อยได้ใช้งานเพื่อหลีกเลี่ยงการถูกสังเกต และผู้ใช้จะรู้ตัวก็ต่อเมื่อถึงรอบการเรียกเก็บเงินครั้งถัดไป

บัญชี AWS ที่มีความปลอดภัยต่ำในสภาพแวดล้อมที่ไม่ใช่ Production คือเป้าหมายที่ถูกเพ่งเลงได้ง่าย

จำเป็นต้องเปิดใช้งาน GuardDuty ในทุกบัญชี AWS และทุกภูมิภาค

จุดอ่อนเพียงอย่างเดียวของ GuardDuty (ที่คนมักคิดว่าเป็น)

ราคาแพง

ไม่ว่าพวกเราจะพูดกี่ครั้งว่า "GuardDuty ราคาถูก!" ก็ดูเหมือนจะสื่อสารได้ยาก ค่าบริการของ GuardDuty มีดังต่อไปนี้

• การวิเคราะห์ VPC Flow Logs และ DNS Logs: 1.15 USD/GB ขึ้นไป
• การวิเคราะห์ AWS CloudTrail Events: 4.60 USD/1,000,000 events ขึ้นไป
• ราคาอ้างอิงจากภูมิภาค Singapore ดูรายละเอียดเพิ่มเติมได้ที่นี่

เอาล่ะ แค่นี้คงยังไม่เข้าใจใช่ไหมล่ะ?

ดังนั้น ผมจะพิสูจน์ให้เห็นว่า GuardDuty นั้นราคาถูกแค่ไหน

การคำนวณสัดส่วนค่าใช้จ่าย GuardDuty เทียบกับค่าใช้จ่าย AWS ทั้งหมด

บริษัทของเราดูแลบัญชี AWS หลายพันบัญชี และได้คำนวณสัดส่วนค่าใช้จ่ายของ GuardDuty จากบัญชีเหล่านี้!

สำหรับ GuardDuty มากกว่า 85% ของบัญชีทั้งหมด มีค่าใช้จ่ายน้อยกว่า 1% ของค่าใช้จ่าย AWS ทั้งหมด!

และมากกว่า 95% ของบัญชีทั้งหมด มีค่าใช้จ่ายน้อยกว่า 2%!

หมายความว่าสำหรับบัญชีส่วนใหญ่ ถ้าค่าใช้จ่าย AWS ปกติอยู่ที่ 1,000 ดอลลาร์สหรัฐ (USD) คุณสามารถใช้ GuardDuty ได้ด้วยค่าใช้จ่ายน้อยกว่า 10 ดอลลาร์สหรัฐ (USD)

ด้วยค่าใช้จ่ายเพียงเท่านี้ แต่สามารถตรวจจับภัยคุกคามต่างๆ ที่อาจเกิดขึ้นได้!

นี่พิสูจน์แล้วว่า GuardDuty เป็นบริการตรวจจับภัยคุกคามที่คุ้มค่าที่สุด Q.E.D.

เป็นไงครับ? คิดว่าควรเปิดใช้งานแล้วใช่ไหมครับ?

ค่าใช้จ่ายจริงในการใช้งาน

GuardDuty สามารถใช้งานฟรีได้ 30 วัน ในช่วงนี้คุณจะรู้ว่าค่าใช้จ่ายจริงเป็นเท่าไหร่!

แน่นอนว่า สามารถปิดการใช้งานได้หลังจากสิ้นสุดช่วงทดลองใช้ ดังนั้นจึงไม่มีเหตุผลที่จะต้องลังเลในการเปิดใช้งานในตอนนี้

สรุป

เราได้พิสูจน์แล้วว่า GuardDuty เป็นบริการตรวจจับภัยคุกคามที่คุ้มค่าที่สุด

ไม่มีเหตุผลที่จะไม่เปิดใช้งานบริการนี้

บทความอ้างอิง

• ราคาของ Amazon GuardDuty
• “Amazon GuardDuty” คืออะไร? คำอธิบายสำหรับผู้เริ่มต้น
• Amazon GuardDuty คืออะไร? การแนะนำฟังก์ชันล่าสุดของ AWS
• ระบบรักษาความปลอดภัยของ Amazon GuardDuty [ปลายปี 2022]
• ทดลองใช้งานฟีเจอร์สแกนมัลแวร์อัตโนมัติของ GuardDuty
• [บทความต้นฉบับ] 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた(บทความภาษาญี่ปุ่น)