AI/ML per la sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWSSRA) rispondendo a un breve sondaggio

L'intelligenza artificiale e l'apprendimento automatico (AI/ML) stanno trasformando le aziende. L'AI/ML è al centro dell'attenzione di Amazon da oltre 20 anni e molte delle funzionalità utilizzate dai clienti con AWS, inclusi i servizi di sicurezza, sono basate sull'AI/ML. Questo crea un valore differenziato integrato, perché puoi creare in modo sicuro su AWS senza che i team di sicurezza o di sviluppo delle applicazioni abbiano esperienza in AI/ML.

L'intelligenza artificiale è una tecnologia avanzata che consente a macchine e sistemi di acquisire intelligenza e capacità di previsione. I sistemi di intelligenza artificiale imparano dall'esperienza passata attraverso i dati che utilizzano o sui quali vengono addestrati. L'apprendimento automatico è uno degli aspetti più importanti dell'IA. L'apprendimento automatico è la capacità dei computer di apprendere dai dati senza essere programmati esplicitamente. Nella programmazione tradizionale, il programmatore scrive regole che definiscono come il programma dovrebbe funzionare su un computer o una macchina. In ML, il modello impara le regole dai dati. I modelli ML possono scoprire schemi nascosti nei dati o fare previsioni accurate su nuovi dati che non sono stati utilizzati durante l'addestramento. Diversi servizi AWS utilizzano AI/ML per imparare da enormi set di dati e fare inferenze sulla sicurezza.

Amazon Macie è un servizio di sicurezza dei dati che utilizza il machine learning e il pattern matching per scoprire e proteggere i tuoi dati sensibili. Macie rileva automaticamente un ampio e crescente elenco di tipi di dati sensibili, tra cui informazioni di identificazione personale (PII) come nomi, indirizzi e informazioni finanziarie come numeri di carte di credito. Inoltre, ti offre una visibilità costante sui dati archiviati in Amazon Simple Storage Service (Amazon S3). Macie utilizza modelli di elaborazione del linguaggio naturale (NLP) e ML addestrati su diversi tipi di set di dati per comprendere i dati esistenti e assegnare valori aziendali per dare priorità ai dati aziendali critici. Macie genera quindi risultati di dati sensibili.
Amazon GuardDuty è un servizio di rilevamento delle minacce che utilizza il machine learning, il rilevamento delle anomalie e l'intelligence integrata sulle minacce per monitorare continuamente attività dannose e comportamenti non autorizzati e proteggere account AWS, istanze, carichi di lavoro serverless e container, utenti, database e storage. GuardDuty incorpora tecniche di machine learning estremamente efficaci nel distinguere le attività potenzialmente dannose degli utenti da comportamenti operativi anomali ma benigni all'interno degli account AWS. Questa funzionalità modella continuamente le chiamate alle API all'interno di un account e incorpora previsioni probabilistiche per isolare e avvisare in modo più accurato i comportamenti altamente sospetti degli utenti. Questo approccio aiuta a identificare le attività dannose associate a tattiche di minaccia note, tra cui il rilevamento, l'accesso iniziale, la persistenza, l'escalation dei privilegi, l'evasione della difesa, l'accesso alle credenziali, l'impatto e l'esfiltrazione dei dati. Per ulteriori informazioni su come GuardDuty utilizza l'apprendimento automatico, consulta la sessione introduttiva di AWS re:Inforce 2023 Sviluppare nuove scoperte utilizzando l'apprendimento automatico in Amazon GuardDuty (TDR310).

Sicurezza dimostrabile

AWS sviluppa strumenti di ragionamento automatizzato che utilizzano la logica matematica per rispondere a domande critiche sulla tua infrastruttura e per rilevare configurazioni errate che potrebbero potenzialmente esporre i tuoi dati. Questa funzionalità è chiamata sicurezza dimostrabile perché offre una maggiore garanzia nella sicurezza del cloud e nel cloud. La sicurezza dimostrabile utilizza il ragionamento automatico, che è una disciplina specifica dell'intelligenza artificiale che applica la deduzione logica ai sistemi informatici. Ad esempio, gli strumenti di ragionamento automatico possono analizzare le politiche e le configurazioni dell'architettura di rete e dimostrare l'assenza di configurazioni involontarie che potrebbero potenzialmente esporre dati vulnerabili. Questo approccio offre il massimo livello di garanzia possibile per le caratteristiche di sicurezza critiche del cloud. Per ulteriori informazioni, consulta Provable Security Resources sul sito Web di AWS. I seguenti servizi e funzionalità AWS attualmente utilizzano il ragionamento automatico per aiutarti a ottenere una sicurezza dimostrabile per le tue applicazioni:

Amazon CodeGuru Security è uno strumento statico di test della sicurezza delle applicazioni (SAST) che combina il machine learning e il ragionamento automatico per identificare le vulnerabilità nel codice e fornire consigli su come correggerle e monitorarne lo stato fino alla chiusura. CodeGuru La sicurezza rileva i 10 problemi principali identificati dall'Open Worldwide Application Security Project (OWASP), i 25 principali problemi identificati da Common Weakness Enumeration (CWE), l'iniezione di log, i segreti e l'uso non sicuro delle API e degli SDK di AWS. CodeGuru La sicurezza si ispira anche alle best practice di sicurezza di AWS ed è stata addestrata su milioni di righe di codice presso Amazon.

CodeGuru La sicurezza è in grado di identificare le vulnerabilità del codice con un tasso di risultati veramente positivi molto elevato grazie alla sua analisi semantica approfondita. Questo aiuta gli sviluppatori e i team di sicurezza ad avere fiducia nelle linee guida, il che si traduce in un aumento della qualità. Questo servizio viene addestrato utilizzando regole di rule mining e modelli ML supervisionati che utilizzano una combinazione di regressione logistica e reti neurali. Ad esempio, durante l'addestramento in caso di fughe di dati sensibili, CodeGuru Security esegue un'analisi completa del codice per i percorsi di codice che utilizzano la risorsa o accedono a dati sensibili, crea un set di funzionalità che li rappresenta e quindi utilizza i percorsi di codice come input per modelli di regressione logistica e reti neurali convoluzionali (CNN). La funzionalità CodeGuru Security bug-tracking rileva automaticamente quando un bug viene chiuso. L'algoritmo di tracciamento dei bug assicura di disporre di up-to-date informazioni sul livello di sicurezza dell'organizzazione senza ulteriori sforzi. Per iniziare a esaminare il codice, puoi associare i tuoi repository di codice esistenti su GitHub Enterprise GitHub, Bitbucket o AWS CodeCommit sulla console. CodeGuru Il design basato sull'API di CodeGuru sicurezza offre funzionalità di integrazione che puoi utilizzare in qualsiasi fase del flusso di lavoro di sviluppo.
Amazon Verified Permissions è un servizio scalabile di gestione delle autorizzazioni e di autorizzazione granulare per le applicazioni che crei. Verified Permissions utilizza Cedar, un linguaggio open source per il controllo degli accessi creato utilizzando ragionamenti automatici e test differenziali. Cedar è un linguaggio per definire le autorizzazioni come politiche che descrivono chi deve avere accesso a quali risorse. È anche una specifica per la valutazione di tali politiche. Utilizzate le politiche Cedar per controllare ciò che ogni utente della vostra applicazione è autorizzato a fare e a quali risorse può accedere. Le politiche Cedar sono dichiarazioni di autorizzazione o divieto che determinano se un utente può agire su una risorsa. Le politiche sono associate alle risorse ed è possibile allegare più politiche a una risorsa. Le politiche di divieto hanno la precedenza sulle politiche di autorizzazione. Quando un utente dell'applicazione tenta di eseguire un'azione su una risorsa, l'applicazione invia una richiesta di autorizzazione al motore di policy Cedar. Cedar valuta le politiche applicabili e restituisce una ALLOW decisione or. DENY Cedar supporta le regole di autorizzazione per qualsiasi tipo di principale e risorsa, consente il controllo degli accessi basato sui ruoli e sugli attributi e supporta l'analisi tramite strumenti di ragionamento automatizzati che possono aiutare a ottimizzare le politiche e a convalidare il modello di sicurezza.
AWS Identity and Access Management (IAM) Access Analyzer ti aiuta a semplificare la gestione delle autorizzazioni. Puoi utilizzare questa funzionalità per impostare autorizzazioni dettagliate, verificare le autorizzazioni previste e perfezionare le autorizzazioni rimuovendo gli accessi non utilizzati. IAM Access Analyzer genera una policy dettagliata basata sull'attività di accesso acquisita nei log. Fornisce inoltre oltre 100 controlli delle politiche per aiutarti a creare e convalidare le tue politiche. IAM Access Analyzer utilizza una sicurezza comprovabile per analizzare i percorsi di accesso e fornire risultati completi per l'accesso pubblico e interaccount alle risorse. Questo strumento è basato su Zelkova, che traduce le politiche IAM in istruzioni logiche equivalenti ed esegue una suite di risolutori logici generici e specializzati (teorie dei moduli di soddisfacibilità) per risolvere il problema. IAM Access Analyzer applica Zelkova ripetutamente a una policy con query sempre più specifiche per caratterizzare classi di comportamenti consentite dalla policy, in base al contenuto della policy stessa. L'analizzatore non esamina i log di accesso per determinare se un'entità esterna ha avuto accesso a una risorsa all'interno della zona di fiducia dell'utente. Genera un risultato quando una politica basata sulle risorse consente l'accesso a una risorsa, anche se l'entità esterna non ha avuto accesso alla risorsa. Per saperne di più sulle teorie dei moduli di soddisfacibilità, vedi Satisfiability Modulo Theories in Handbook of Satisfiability. ^*
Amazon S3 Block Public Access è una funzionalità di Amazon S3 che consente di bloccare possibili configurazioni errate che potrebbero portare all'accesso pubblico ai bucket e agli oggetti. Puoi abilitare Amazon S3 Block Public Access a livello di bucket o account (il che influisce sia sui bucket esistenti che su quelli nuovi nell'account). L'accesso pubblico viene concesso a bucket e oggetti tramite liste di controllo accessi (ACL), policy di bucket o entrambi. La determinazione se una determinata policy o ACL è considerata pubblica viene effettuata utilizzando il sistema di ragionamento automatico Zelkova. Amazon S3 utilizza Zelkova per verificare la policy di ogni bucket e ti avvisa se un utente non autorizzato è in grado di leggere o scrivere nel tuo bucket. Se un bucket è contrassegnato come pubblico, alcune richieste pubbliche possono accedere al bucket. Se un bucket è contrassegnato come non pubblico, tutte le richieste pubbliche vengono rifiutate. Zelkova è in grado di effettuare tali determinazioni perché ha una rappresentazione matematica precisa delle politiche IAM. Crea una formula per ogni politica e dimostra un teorema su quella formula.
Amazon VPC Network Access Analyzer è una funzionalità di Amazon VPC che ti aiuta a comprendere i potenziali percorsi di rete verso le tue risorse e a identificare potenziali accessi non intenzionali alla rete. Network Access Analyzer ti aiuta a verificare la segmentazione della rete, identificare l'accessibilità a Internet e verificare percorsi di rete e accessi alla rete affidabili. Questa funzionalità utilizza algoritmi di ragionamento automatizzato per analizzare i percorsi di rete che un pacchetto può percorrere tra le risorse in una rete AWS. Quindi produce risultati per i percorsi che corrispondono agli ambiti di accesso alla rete, che definiscono i modelli di traffico in uscita e in entrata. Network Access Analyzer esegue un'analisi statica di una configurazione di rete, il che significa che nessun pacchetto viene trasmesso nella rete come parte di questa analisi.
Amazon VPC Reachability Analyzer è una funzionalità di Amazon VPC che consente di eseguire il debug, comprendere e visualizzare la connettività nella rete AWS. Reachability Analyzer è uno strumento di analisi della configurazione che consente di eseguire test di connettività tra una risorsa di origine e una risorsa di destinazione nei cloud privati virtuali (VPC). Quando la destinazione è raggiungibile, Reachability Analyzer hop-by-hop produce dettagli sul percorso di rete virtuale tra l'origine e la destinazione. Quando la destinazione non è raggiungibile, Reachability Analyzer identifica il componente di blocco. Reachability Analyzer utilizza il ragionamento automatico per identificare percorsi possibili costruendo un modello della configurazione di rete tra un'origine e una destinazione. Quindi verifica la raggiungibilità in base alla configurazione. Non invia pacchetti né analizza il piano dati.

^* Biere, A. M. Heule, H. van Maaren e T. Walsh. 2009. Manuale di soddisfacibilità. IOS Press, NLD.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Integrazione di un carico di lavoro cloud tradizionale con Amazon Bedrock

Costruire la propria architettura di sicurezza: un approccio graduale