如何检测云环境中的恶意软件？这项新功能值得了解

日前，亚马逊云科技进一步扩展Amazon GuardDuty的威胁检测范围，新增恶意软件检测功能帮助客户检测运行在其云环境中的恶意软件。该功能开启后，当Amazon GuardDuty检测到客户Amazon EC2实例或运行在其AmazonEC2实例上的容器工作负载有异常时，就会启动针对恶意软件的扫描，客户可根据扫描的结果及其成因，迅速采取对应措施。

恶意软件给企业带来诸多安全威胁，如破坏企业工作负载、改变资源用途、访问未经授权的数据等。Amazon GuardDuty可扫描多种文件系统，包括Windows和Linux 文件、 PDF文件、归档文件、二进制文件、安装文件、邮件等，通过持续扫描和发现以帮助客户降低恶意软件对其业务安全性和持续性的威胁。

AmazonGuardDuty恶意软件检测功能适用于客户Amazon EC2 实例以及运行在AmazonEC2上的容器工作负载，如AmazonElastic Kubernetes Service (Amazon EKS) 或 Amazon Elastic Container Service (Amazon ECS)。在启用AmazonGuardDuty恶意软件检测功能的情况下，当Amazon GuardDuty检测到工作负载有异常时，会为相关的Amazon Elastic Block Store(Amazon EBS) 卷建立快照，并分析这些快照，此过程不会影响客户云中相关资源的性能。Amazon GuardDuty创建的快照在扫描结束后会自动删除，同时客户可以自行选择保留包含恶意软件的相关快照。

AmazonGuardDuty恶意软件检测功能与安全事件统一管理平台Amazon Security Hub集成，为客户提供统一的管理体验。当扫描到恶意软件时，Amazon GuardDuty可以自动向AmazonGuardDuty控制台、Amazon Security Hub、Amazon EventBridge和Amazon Detective发送扫描结果以及可能成因，让用户能够更轻松地对相关结果进行操作，并采取相应行动。

使用Amazon GuardDuty的新账户将默认启用恶意软件检测功能，Amazon GuardDuty的已有账户需要通过控制台启用该新功能。客户还可以通过Amazon Organizations，跨所有账户启用和设置AmazonGuardDuty。

目前，全球众多客户正借助Amazon GuardDuty智能威胁检测和持续监控，保护其亚马逊云科技账户、工作负载和数据。全球知名的技术和工业制造公司西门子需要安全管理来自世界各地数百个团队的数据，他们希望能借助更强大的服务加强公司的安保状况。西门子使用了Amazon GuardDuty，持续监测其亚马逊云科技账户内是否存在异常行为，并提供详细的安全检测结果，加强可见性和修复措施，并集中呈现安全检测结果。