AI/ML para la seguridad - AWS Guía prescriptiva
Seguridad demostrable

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AI/ML para la seguridad

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWSSRA) realizando una breve encuesta.

La inteligencia artificial y el aprendizaje automático (AI/ML) están transformando las empresas. Amazon se ha centrado en la IA y el aprendizaje automático durante más de 20 años, y muchas de las capacidades que los clientes utilizan con AWS, incluidos los servicios de seguridad, están impulsadas por la IA y el aprendizaje automático. Esto crea un valor diferenciado integrado, ya que puede crear de forma segura en AWS sin necesidad de que sus equipos de seguridad o desarrollo de aplicaciones tengan experiencia en inteligencia artificial y aprendizaje automático.

La IA es una tecnología avanzada que permite que las máquinas y los sistemas adquieran capacidades de inteligencia y predicción. Los sistemas de IA aprenden de la experiencia pasada a través de los datos que consumen o con los que se entrenan. El aprendizaje automático es uno de los aspectos más importantes de la IA. El aprendizaje automático es la capacidad de los ordenadores de aprender de los datos sin necesidad de programarlos de forma explícita. En la programación tradicional, el programador escribe reglas que definen cómo debe funcionar el programa en una computadora o máquina. En el aprendizaje automático, el modelo aprende las reglas a partir de los datos. Los modelos de aprendizaje automático pueden descubrir patrones ocultos en los datos o realizar predicciones precisas a partir de nuevos datos que no se utilizaron durante el entrenamiento. Varios servicios de AWS utilizan la inteligencia artificial y el aprendizaje automático para aprender de enormes conjuntos de datos y hacer inferencias de seguridad.

  • Amazon Macie es un servicio de seguridad de datos que utiliza el aprendizaje automático y la coincidencia de patrones para detectar y proteger sus datos confidenciales. Macie detecta automáticamente una lista cada vez mayor de tipos de datos confidenciales, que incluye información de identificación personal (PII), como nombres, direcciones e información financiera, como números de tarjetas de crédito. También le proporciona una visibilidad constante de los datos almacenados en Amazon Simple Storage Service (Amazon S3). Macie utiliza modelos de procesamiento del lenguaje natural (NLP) y aprendizaje automático que se entrenan en distintos tipos de conjuntos de datos para comprender los datos existentes y asignar valores empresariales a fin de priorizar los datos esenciales para la empresa. Luego, Macie genera hallazgos de datos confidenciales.

  • Amazon GuardDuty es un servicio de detección de amenazas que utiliza el aprendizaje automático, la detección de anomalías y la inteligencia de amenazas integrada para supervisar de forma continua la actividad maliciosa y el comportamiento no autorizado, a fin de proteger las cuentas, las instancias, las cargas de trabajo de contenedores y sin servidor, los usuarios, las bases de datos y el almacenamiento de AWS. GuardDuty incorpora técnicas de aprendizaje automático que son muy eficaces para diferenciar la actividad de los usuarios potencialmente maliciosa de un comportamiento operativo anómalo pero benigno en las cuentas de AWS. Esta capacidad modela continuamente las invocaciones a las API dentro de una cuenta e incorpora predicciones probabilísticas para aislar con mayor precisión los comportamientos de los usuarios altamente sospechosos y alertar sobre ellos. Este enfoque ayuda a identificar las actividades maliciosas asociadas a las tácticas de amenazas conocidas, como la detección, el acceso inicial, la persistencia, la escalada de privilegios, la evasión de la defensa, el acceso a las credenciales, el impacto y la exfiltración de datos. Para obtener más información sobre cómo se GuardDuty utiliza el aprendizaje automático, consulte la sesión de trabajo sobre AWS Re:inForce 2023 Desarrollo de nuevos hallazgos mediante el aprendizaje automático en Amazon GuardDuty (TDR310).

Seguridad demostrable

AWS desarrolla herramientas de razonamiento automatizadas que utilizan la lógica matemática para responder a preguntas críticas sobre su infraestructura y detectar errores de configuración que podrían exponer sus datos. Esta capacidad se denomina seguridad demostrable porque proporciona una mayor seguridad en la nube y en la nube. La seguridad demostrable utiliza el razonamiento automatizado, que es una disciplina específica de la IA que aplica la deducción lógica a los sistemas informáticos. Por ejemplo, las herramientas de razonamiento automatizado pueden analizar las políticas y las configuraciones de la arquitectura de red y demostrar la ausencia de configuraciones no deseadas que puedan exponer datos vulnerables. Este enfoque proporciona el mayor nivel de garantía posible para las características de seguridad críticas de la nube. Para obtener más información, consulte Recursos de seguridad comprobables en el sitio web de AWS. Los siguientes servicios y características de AWS utilizan actualmente el razonamiento automatizado para ayudarlo a lograr una seguridad demostrable para sus aplicaciones:

  • Amazon CodeGuru Security es una herramienta estática de pruebas de seguridad de aplicaciones (SAST) que combina el aprendizaje automático y el razonamiento automatizado para identificar las vulnerabilidades del código y ofrecer recomendaciones sobre cómo solucionarlas y realizar un seguimiento de su estado hasta su cierre. CodeGuru La seguridad detecta los 10 problemas principales identificados por Open Worldwide Application Security Project (OWASP), los 25 problemas principales identificados por la enumeración de debilidades comunes (CWE), la inyección de registros, los secretos y el uso inseguro de las API y los SDK de AWS. CodeGuru La seguridad también se basa en las mejores prácticas de seguridad de AWS y Amazon la capacitó en millones de líneas de código.

    CodeGuru La seguridad puede identificar las vulnerabilidades del código con una tasa muy alta de positivos reales gracias a su profundo análisis semántico. Esto ayuda a los desarrolladores y a los equipos de seguridad a confiar en la orientación, lo que se traduce en un aumento de la calidad. Este servicio se entrena mediante la minería de reglas y modelos de aprendizaje automático supervisados que utilizan una combinación de regresión logística y redes neuronales. Por ejemplo, durante la capacitación sobre filtraciones de datos confidenciales, CodeGuru Security realiza un análisis de código completo para detectar las rutas de código que utilizan el recurso o acceden a datos confidenciales, crea un conjunto de características que las representa y, a continuación, utiliza las rutas de código como entradas para los modelos de regresión logística y las redes neuronales convolucionales (CNN). La función de seguimiento de errores de CodeGuru seguridad detecta automáticamente cuando se soluciona un error. El algoritmo de seguimiento de errores garantiza que dispongas de up-to-date información sobre la postura de seguridad de tu organización sin ningún esfuerzo adicional. Para empezar a revisar el código, puede asociar sus repositorios de código existentes en GitHub Enterprise GitHub, Bitbucket o AWS a CodeCommit la CodeGuru consola. El diseño basado en la API de CodeGuru seguridad proporciona capacidades de integración que puede utilizar en cualquier fase del flujo de trabajo de desarrollo.

  • Amazon Verified Permissions es un servicio escalable de administración de permisos y autorización detallado para las aplicaciones que cree. Verified Permissions utiliza Cedar, un lenguaje de código abierto para el control de acceso que se creó mediante el razonamiento automatizado y las pruebas diferenciales. Cedar es un lenguaje para definir los permisos como políticas que describen quién debe tener acceso a qué recursos. También es una especificación para evaluar esas políticas. Utilice las políticas de Cedar para controlar lo que cada usuario de su aplicación puede hacer y a qué recursos puede acceder. Las políticas de Cedar son declaraciones de autorización o prohibición que determinan si un usuario puede utilizar un recurso. Las políticas están asociadas a los recursos y puede adjuntar varias políticas a un recurso. Las políticas de prohibición anulan las políticas de permisos. Cuando un usuario de su aplicación intenta realizar una acción en un recurso, la aplicación realiza una solicitud de autorización al motor de políticas de Cedar. Cedar evalúa las políticas aplicables y devuelve una DENY decisión de ALLOW denegación. Cedar respalda las reglas de autorización para cualquier tipo de capital y recurso, permite un control de acceso basado en roles y atributos, y apoya el análisis mediante herramientas de razonamiento automatizadas que pueden ayudar a optimizar sus políticas y validar su modelo de seguridad.

  • El analizador de acceso AWS Identity and Access Management (IAM) le ayuda a optimizar la administración de permisos. Puede usar esta función para establecer permisos detallados, verificar los permisos previstos y refinar los permisos eliminando el acceso no utilizado. IAM Access Analyzer genera una política detallada basada en la actividad de acceso capturada en sus registros. También proporciona más de 100 comprobaciones de políticas para ayudarle a crear y validar sus políticas. IAM Access Analyzer utiliza una seguridad comprobada para analizar las rutas de acceso y proporcionar conclusiones exhaustivas para el acceso público y entre cuentas a sus recursos. Esta herramienta se basa en Zelkova, que traduce las políticas de IAM en declaraciones lógicas equivalentes y utiliza un conjunto de soluciones lógicas especializadas y de uso general (teorías de los módulos de adaptabilidad) para solucionar el problema. IAM Access Analyzer aplica Zelkova repetidamente a una política con consultas cada vez más específicas para caracterizar las clases de comportamientos que permite la política, en función del contenido de la política. El analizador no examina los registros de acceso para determinar si una entidad externa ha accedido a un recurso dentro de su zona de confianza. Genera un resultado cuando una política basada en recursos permite el acceso a un recurso, incluso si la entidad externa no accedió al recurso. Para obtener más información sobre las teorías de los módulos de satisfactibilidad, consulte las teorías de los módulos de satisfactibilidad en el Manual de satisfactibilidad. *

  • Amazon S3 Block Public Access es una función de Amazon S3 que le permite bloquear posibles errores de configuración que podrían provocar el acceso público a sus depósitos y objetos. Puede habilitar Amazon S3 Block Public Access a nivel de bucket o a nivel de cuenta (lo que afecta tanto a los buckets existentes como a los nuevos de la cuenta). El acceso público se otorga a grupos y objetos a través de listas de control de acceso (ACL), políticas de bucket o ambas. La determinación de si una determinada política o ACL se considera pública se realiza mediante el sistema de razonamiento automatizado Zelkova. Amazon S3 utiliza Zelkova para comprobar la política de cada bucket y le avisa si un usuario no autorizado puede leer o escribir en su bucket. Si un bucket está marcado como público, se permite que algunas solicitudes públicas accedan al bucket. Si un depósito está marcado como no público, se rechazan todas las solicitudes públicas. Zelkova puede hacer estas determinaciones porque tiene una representación matemática precisa de las políticas de IAM. Crea una fórmula para cada política y demuestra un teorema sobre esa fórmula.

  • El analizador de acceso a la red Amazon VPC es una función de Amazon VPC que le ayuda a comprender las posibles rutas de red a sus recursos e identifica el posible acceso no deseado a la red. El analizador de acceso a la red lo ayuda a verificar la segmentación de la red, identificar la accesibilidad a Internet y verificar las rutas de red confiables y el acceso a la red. Esta función utiliza algoritmos de razonamiento automatizados para analizar las rutas de red que un paquete puede tomar entre los recursos de una red de AWS. A continuación, obtiene información sobre las rutas que coinciden con sus ámbitos de acceso a la red, que definen los patrones de tráfico entrante y saliente. El analizador de acceso a la red realiza un análisis estático de una configuración de red, lo que significa que no se transmite ningún paquete en la red como parte de este análisis.

  • El Reachability Analyzer de Amazon VPC es una función de Amazon VPC que le permite depurar, comprender y visualizar la conectividad en su red de AWS. El Analizador de accesibilidad es una herramienta de análisis de configuración que le permite realizar pruebas de conectividad entre un recurso de origen y un recurso de destino en las nubes privadas virtuales (VPC). Cuando se puede alcanzar el destino, el Reachability Analyzer hop-by-hop produce detalles de la ruta de red virtual entre el origen y el destino. Cuando no se puede acceder al destino, el Reachability Analyzer identifica el componente de bloqueo. Reachability Analyzer utiliza el razonamiento automatizado para identificar rutas factibles mediante la creación de un modelo de la configuración de la red entre un origen y un destino. A continuación, comprueba la accesibilidad en función de la configuración. No envía paquetes ni analiza el plano de datos.

* Biere, A. M. Heule, H. van Maaren y T. Walsh. 2009. Manual de satisfactoriedad. IOS Press, NLD.