AI/ML pour la sécurité

Influencez le futur de l'architecture de référence de AWS sécurité (AWSSRA) en répondant à une courte enquête

L'intelligence artificielle et l'apprentissage automatique (IA/ML) transforment les entreprises. L'IA et le ML sont au cœur des préoccupations d'Amazon depuis plus de 20 ans, et de nombreuses fonctionnalités utilisées par les clients avec AWS, notamment les services de sécurité, sont pilotées par l'IA et le ML. Cela crée une valeur intrinsèque différenciée, car vous pouvez créer en toute sécurité sur AWS sans que vos équipes de sécurité ou de développement d'applications aient besoin d'une expertise en intelligence artificielle et en machine learning.

L'IA est une technologie avancée qui permet aux machines et aux systèmes de gagner en intelligence et en capacité de prédiction. Les systèmes d'IA tirent les leçons de l'expérience passée grâce aux données qu'ils consomment ou sur lesquelles ils sont entraînés. Le ML est l'un des aspects les plus importants de l'IA. Le machine learning est la capacité des ordinateurs à apprendre à partir de données sans être explicitement programmés. Dans la programmation traditionnelle, le programmeur écrit des règles qui définissent la façon dont le programme doit fonctionner sur un ordinateur ou une machine. Dans le ML, le modèle apprend les règles à partir des données. Les modèles ML peuvent découvrir des modèles cachés dans les données ou établir des prédictions précises sur de nouvelles données qui n'ont pas été utilisées pendant l'entraînement. De nombreux services AWS utilisent l'intelligence artificielle et le machine learning pour tirer des enseignements d'énormes ensembles de données et tirer des conclusions de sécurité.

Amazon Macie est un service de sécurité des données qui utilise le machine learning et la correspondance de modèles pour découvrir et protéger vos données sensibles. Macie détecte automatiquement une liste longue et croissante de types de données sensibles, y compris les informations personnelles identifiables (PII) telles que les noms, les adresses et les informations financières telles que les numéros de carte de crédit. Il vous donne également une visibilité constante sur vos données stockées dans Amazon Simple Storage Service (Amazon S3). Macie utilise le traitement du langage naturel (NLP) et des modèles de machine learning formés sur différents types d'ensembles de données afin de comprendre vos données existantes et d'attribuer des valeurs commerciales afin de prioriser les données critiques. Macie génère ensuite des résultats de données sensibles.
Amazon GuardDuty est un service de détection des menaces qui utilise le machine learning, la détection des anomalies et des informations intégrées sur les menaces pour surveiller en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos comptes AWS, vos instances, vos charges de travail sans serveur et de conteneurs, vos utilisateurs, vos bases de données et votre stockage. GuardDuty intègre des techniques de machine learning très efficaces pour distinguer les activités potentiellement malveillantes des utilisateurs des comportements opérationnels anormaux mais bénins au sein des comptes AWS. Cette fonctionnalité modélise en permanence les invocations d'API au sein d'un compte et intègre des prédictions probabilistes pour isoler et alerter plus précisément en cas de comportement hautement suspect des utilisateurs. Cette approche permet d'identifier les activités malveillantes associées à des tactiques de menace connues, notamment la découverte, l'accès initial, la persistance, l'augmentation des privilèges, le contournement de la défense, l'accès aux informations d'identification, l'impact et l'exfiltration de données. Pour en savoir plus sur l' GuardDutyutilisation de l'apprentissage automatique, consultez la session en petits groupes organisée par AWS Re:InForce 2023 sur le développement de nouvelles découvertes grâce à l'apprentissage automatique dans Amazon GuardDuty (TDR310).

Une sécurité prouvable

AWS développe des outils de raisonnement automatisés qui utilisent la logique mathématique pour répondre à des questions critiques concernant votre infrastructure et pour détecter les erreurs de configuration susceptibles d'exposer vos données. Cette fonctionnalité est appelée sécurité prouvable car elle fournit une meilleure assurance en matière de sécurité dans le cloud et dans le cloud. La sécurité prouvable utilise le raisonnement automatique, une discipline spécifique de l'IA qui applique la déduction logique aux systèmes informatiques. Par exemple, les outils de raisonnement automatisés peuvent analyser les politiques et les configurations d'architecture réseau, et prouver l'absence de configurations involontaires susceptibles d'exposer des données vulnérables. Cette approche fournit le plus haut niveau d'assurance possible pour les caractéristiques de sécurité critiques du cloud. Pour plus d'informations, consultez la section Ressources de sécurité prouvables sur le site Web d'AWS. Les services et fonctionnalités AWS suivants utilisent actuellement un raisonnement automatique pour vous aider à garantir une sécurité prouvable pour vos applications :

Amazon CodeGuru Security est un outil de test statique de sécurité des applications (SAST) qui combine le machine learning et le raisonnement automatique pour identifier les vulnérabilités de votre code et fournir des recommandations sur la manière de corriger ces vulnérabilités et de suivre leur statut jusqu'à leur fermeture. CodeGuru La sécurité détecte les 10 principaux problèmes identifiés par l'Open Worldwide Application Security Project (OWASP), les 25 principaux problèmes identifiés par Common Weakness Enumeration (CWE), l'injection de logs, les secrets et l'utilisation non sécurisée des API et SDK AWS. CodeGuru La sécurité s'inspire également des meilleures pratiques de sécurité d'AWS et a été formée sur des millions de lignes de code chez Amazon.

CodeGuru La sécurité peut identifier les vulnérabilités du code avec un taux de vrais positifs très élevé grâce à son analyse sémantique approfondie. Cela permet aux développeurs et aux équipes de sécurité d'avoir confiance dans les conseils, ce qui se traduit par une amélioration de la qualité. Ce service est formé à l'aide de modèles d'exploration de règles et de machine learning supervisée qui utilisent une combinaison de régression logistique et de réseaux neuronaux. Par exemple, lors de la formation sur les fuites de données sensibles, CodeGuru Security effectue une analyse complète du code pour les chemins de code qui utilisent la ressource ou accèdent à des données sensibles, crée un ensemble de fonctionnalités qui les représente, puis utilise les chemins de code comme entrées pour les modèles de régression logistique et les réseaux neuronaux convolutionnels (CNN). La fonction de suivi des bogues de CodeGuru sécurité détecte automatiquement la fermeture d'un bogue. L'algorithme de suivi des bogues garantit que vous disposez up-to-date d'informations sur le niveau de sécurité de votre entreprise sans effort supplémentaire. Pour commencer à réviser le code, vous pouvez associer vos référentiels de code existants sur GitHub Enterprise GitHub, Bitbucket ou AWS CodeCommit sur la CodeGuru console. La conception basée sur l'API de CodeGuru sécurité fournit des fonctionnalités d'intégration que vous pouvez utiliser à n'importe quelle étape du flux de travail de développement.
Amazon Verified Permissions est un service de gestion des autorisations évolutif et précis pour les applications que vous créez. Verified Permissions utilise Cedar, un langage open source pour le contrôle d'accès créé à l'aide d'un raisonnement automatisé et de tests différentiels. Cedar est un langage permettant de définir les autorisations sous forme de politiques qui décrivent qui doit avoir accès à quelles ressources. Il s'agit également d'une spécification pour évaluer ces politiques. Utilisez les politiques de Cedar pour contrôler ce que chaque utilisateur de votre application est autorisé à faire et à quelles ressources il peut accéder. Les politiques de Cedar sont des déclarations d'autorisation ou d'interdiction qui déterminent si un utilisateur peut agir sur une ressource. Les politiques sont associées aux ressources, et vous pouvez associer plusieurs politiques à une ressource. Les politiques d'interdiction l'emportent sur les politiques d'autorisation. Lorsqu'un utilisateur de votre application tente d'effectuer une action sur une ressource, votre application envoie une demande d'autorisation au moteur de politiques Cedar. Cedar évalue les politiques applicables et renvoie une ALLOW DENY décision. Cedar prend en charge les règles d'autorisation pour tout type de principal et de ressource, permet un contrôle d'accès basé sur les rôles et les attributs, et soutient l'analyse par le biais d'outils de raisonnement automatisés qui peuvent vous aider à optimiser vos politiques et à valider votre modèle de sécurité.
AWS Identity and Access Management (IAM) Access Analyzer vous aide à rationaliser la gestion des autorisations. Vous pouvez utiliser cette fonctionnalité pour définir des autorisations détaillées, vérifier les autorisations prévues et affiner les autorisations en supprimant les accès non utilisés. IAM Access Analyzer génère une politique précise basée sur l'activité d'accès enregistrée dans vos journaux. Il fournit également plus de 100 vérifications de politiques pour vous aider à créer et à valider vos politiques. IAM Access Analyzer utilise une sécurité prouvable pour analyser les chemins d'accès et fournir des résultats complets concernant l'accès public et multicompte à vos ressources. Cet outil est basé sur Zelkova, qui traduit les politiques IAM en instructions logiques équivalentes et exécute une suite de résolveurs logiques spécialisés et à usage général (théories du modulo de satisfaisabilité) pour résoudre le problème. l’IAM Access Analyzer applique Zelkova de manière répétitive à une politique avec des requêtes de plus en plus spécifiques pour caractériser les classes de comportements autorisées par la politique, en fonction du contenu de celle-ci L'analyseur n'examine pas les journaux d'accès pour déterminer si une entité externe a accédé à une ressource située dans votre zone de confiance. Il génère une constatation lorsqu'une politique basée sur les ressources autorise l'accès à une ressource, même si l'entité externe n'y a pas accédé. Pour en savoir plus sur les théories modulo de la satisfaisabilité, voir Théories du modulo de la satisfaisabilité dans le manuel de la satisfaisabilité. ^*
Amazon S3 Block Public Access est une fonctionnalité d'Amazon S3 qui vous permet de bloquer d'éventuelles erreurs de configuration susceptibles d'entraîner un accès public à vos compartiments et à vos objets. Vous pouvez activer Amazon S3 Block Public Access au niveau du bucket ou du compte (ce qui affecte à la fois les buckets existants et les nouveaux compartiments du compte). Un accès public est accordé aux compartiments et objets via des listes de contrôle d'accès (ACL), des stratégies de compartiment, ou via les deux. Le système de raisonnement automatisé Zelkova permet de déterminer si une politique ou une ACL donnée est considérée comme publique. Amazon S3 utilise Zelkova pour vérifier la politique de chaque compartiment et vous avertit si un utilisateur non autorisé est en mesure de lire ou d'écrire dans votre compartiment. Si un compartiment est marqué comme public, certaines demandes publiques sont autorisées à y accéder. Si un bucket est marqué comme non public, toutes les demandes publiques sont refusées. Zelkova est capable de prendre de telles décisions car elle dispose d'une représentation mathématique précise des politiques IAM. Il crée une formule pour chaque politique et prouve un théorème à propos de cette formule.
Amazon VPC Network Access Analyzer est une fonctionnalité d'Amazon VPC qui vous aide à comprendre les chemins réseau potentiels vers vos ressources et à identifier les accès réseau non intentionnels potentiels. Network Access Analyzer vous aide à vérifier la segmentation du réseau, à identifier l'accessibilité à Internet et à vérifier les chemins réseau et les accès réseau fiables. Cette fonctionnalité utilise des algorithmes de raisonnement automatisés pour analyser les chemins réseau qu'un paquet peut emprunter entre les ressources d'un réseau AWS. Il produit ensuite des résultats pour les chemins correspondant à vos étendues d'accès réseau, qui définissent les modèles de trafic sortant et entrant. Network Access Analyzer effectue une analyse statique de la configuration d'un réseau, ce qui signifie qu'aucun paquet n'est transmis sur le réseau dans le cadre de cette analyse.
Amazon VPC Reachability Analyzer est une fonctionnalité d'Amazon VPC qui vous permet de déboguer, de comprendre et de visualiser la connectivité au sein de votre réseau AWS. Reachability Analyzer est un outil d'analyse de configuration qui vous permet d'effectuer des tests de connectivité entre une ressource source et une ressource de destination dans vos clouds privés virtuels (VPC). Lorsque la destination est accessible, Reachability Analyzer hop-by-hop fournit des informations détaillées sur le chemin réseau virtuel entre la source et la destination. Lorsque la destination n'est pas accessible, Reachability Analyzer identifie le composant bloquant. Reachability Analyzer utilise un raisonnement automatique pour identifier les chemins réalisables en élaborant un modèle de configuration réseau entre une source et une destination. Il vérifie ensuite l'accessibilité en fonction de la configuration. Il n'envoie pas de paquets et n'analyse pas le plan de données.

^* Biere, A. M. Heule, H. van Maaren et T. Walsh. 2009. Manuel de satisfaisabilité. Presse IOS, NLD.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Intégrer une charge de travail traditionnelle dans le cloud à Amazon Bedrock

Création de votre architecture de sécurité : une approche progressive