L'IA et le ML au service de la sécurité - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

L'IA et le ML au service de la sécurité

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Intelligence artificielle et apprentissage automatique (AI/ML) is transforming businesses. AI/ML has been a focus for Amazon for over 20 years, and many of the capabilities customers use with AWS, including security services, are driven by AI/ML. This creates a built-in differentiated value, because you can build securely on AWS without requiring your security or application development teams to have expertise in AI/ML.

L'IA est une technologie avancée qui permet aux machines et aux systèmes de gagner en intelligence et en capacité de prédiction. Les systèmes d'IA tirent les leçons de l'expérience passée grâce aux données qu'ils consomment ou sur lesquelles ils sont entraînés. Le ML est l'un des aspects les plus importants de l'IA. Le machine learning est la capacité des ordinateurs à apprendre à partir de données sans être explicitement programmés. Dans la programmation traditionnelle, le programmeur écrit des règles qui définissent la façon dont le programme doit fonctionner sur un ordinateur ou une machine. Dans le ML, le modèle apprend les règles à partir des données. Les modèles de machine learning peuvent découvrir des modèles cachés dans les données ou établir des prédictions précises sur de nouvelles données qui n'ont pas été utilisées pendant l'entraînement. De nombreux AWS services utilisent l'IA/ML pour tirer des leçons d'énormes ensembles de données et tirer des conclusions de sécurité.

  • Amazon Macie est un service de sécurité des données qui utilise le machine learning et la correspondance de modèles pour découvrir et protéger vos données sensibles. Macie détecte automatiquement une liste longue et croissante de types de données sensibles, y compris des informations personnellement identifiables (PII) telles que des noms, des adresses et des informations financières telles que les numéros de carte de crédit. Cela vous donne également une visibilité constante sur vos données stockées dans Amazon Simple Storage Service (Amazon S3). Macie utilise le traitement du langage naturel (NLP) et des modèles de machine learning formés sur différents types d'ensembles de données afin de comprendre vos données existantes et d'attribuer des valeurs commerciales afin de prioriser les données critiques. Macie génère ensuite des résultats de données sensibles.

  • Amazon GuardDuty est un service de détection des menaces qui utilise le machine learning, la détection des anomalies et des informations intégrées sur les menaces pour surveiller en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos AWS comptes, vos instances, vos charges de travail sans serveur et en conteneur, vos utilisateurs, vos bases de données et votre stockage. GuardDuty intègre des techniques de machine learning très efficaces pour distinguer les activités potentiellement malveillantes des utilisateurs des comportements opérationnels anormaux mais bénins au sein AWS des comptes. Cette fonctionnalité modélise en permanence les API invocations au sein d'un compte et intègre des prédictions probabilistes pour isoler et alerter plus précisément en cas de comportement hautement suspect des utilisateurs. Cette approche permet d'identifier les activités malveillantes associées à des tactiques de menace connues, notamment la découverte, l'accès initial, la persistance, l'augmentation des privilèges, le contournement de la défense, l'accès aux informations d'identification, l'impact et l'exfiltration de données. Pour en savoir plus sur l' GuardDutyutilisation de l'apprentissage automatique, consultez la session en petits groupes organisée par AWS Re:inForce 2023 sur le développement de nouvelles découvertes grâce à l'apprentissage automatique sur Amazon GuardDuty (0). TDR31

Une sécurité prouvable

AWSdéveloppe des outils de raisonnement automatisés qui utilisent la logique mathématique pour répondre aux questions critiques concernant votre infrastructure et pour détecter les erreurs de configuration susceptibles d'exposer vos données. Cette fonctionnalité est appelée sécurité prouvable car elle fournit une meilleure assurance en matière de sécurité dans le cloud et dans le cloud. La sécurité prouvable utilise le raisonnement automatique, une discipline spécifique de l'IA qui applique la déduction logique aux systèmes informatiques. Par exemple, les outils de raisonnement automatisés peuvent analyser les politiques et les configurations d'architecture réseau, et prouver l'absence de configurations involontaires susceptibles d'exposer des données vulnérables. Cette approche fournit le plus haut niveau d'assurance possible pour les caractéristiques de sécurité critiques du cloud. Pour plus d'informations, consultez la section Ressources de sécurité prouvables sur le AWS site Web. Les AWS services et fonctionnalités suivants utilisent actuellement un raisonnement automatique pour vous aider à garantir une sécurité prouvable pour vos applications :

  • Amazon CodeGuru Security est un outil statique de test de sécurité des applications (SAST) qui combine le machine learning et le raisonnement automatique pour identifier les vulnérabilités de votre code et fournir des recommandations sur la manière de corriger ces vulnérabilités et de suivre leur statut jusqu'à leur fermeture. CodeGuru La sécurité détecte les 10 principaux problèmes identifiés par Open Worldwide Application Security Project (OWASP), les 25 principaux problèmes identifiés par Common Weakness Enumeration (CWE), l'injection de journaux, les secrets et l'utilisation non sécurisée de AWS APIs et. SDKs CodeGuru La sécurité s'inspire également des meilleures pratiques en matière de AWS sécurité et a été formée sur des millions de lignes de code chez Amazon.

    CodeGuru La sécurité peut identifier les vulnérabilités du code avec un taux de vrais positifs très élevé grâce à son analyse sémantique approfondie. Cela permet aux développeurs et aux équipes de sécurité d'avoir confiance dans les conseils, ce qui se traduit par une amélioration de la qualité. Ce service est formé à l'aide de modèles d'exploration de règles et de machine learning supervisée qui utilisent une combinaison de régression logistique et de réseaux neuronaux. Par exemple, lors de la formation sur les fuites de données sensibles, CodeGuru Security effectue une analyse complète du code pour les chemins de code qui utilisent la ressource ou accèdent à des données sensibles, crée un ensemble de fonctionnalités qui les représente, puis utilise les chemins de code comme entrées pour les modèles de régression logistique et les réseaux neuronaux convolutionnels (). CNNs La fonction de suivi des bogues de CodeGuru sécurité détecte automatiquement la fermeture d'un bogue. L'algorithme de suivi des bogues garantit que vous disposez up-to-date d'informations sur le niveau de sécurité de votre entreprise sans effort supplémentaire. Pour commencer à réviser le code, vous pouvez associer vos référentiels de code existants sur GitHub Enterprise GitHub, Bitbucket ou AWS CodeCommit sur la CodeGuru console. La conception API basée sur la CodeGuru sécurité fournit des fonctionnalités d'intégration que vous pouvez utiliser à n'importe quelle étape du flux de travail de développement.

  • Amazon Verified Permissions est un service de gestion des autorisations évolutif et précis pour les applications que vous créez. Verified Permissions utilise Cedar, un langage open source pour le contrôle d'accès créé à l'aide d'un raisonnement automatisé et de tests différentiels. Cedar est un langage permettant de définir les autorisations sous forme de politiques qui décrivent qui doit avoir accès à quelles ressources. Il s'agit également d'une spécification pour l'évaluation de ces politiques. Utilisez les politiques de Cedar pour contrôler ce que chaque utilisateur de votre application est autorisé à faire et à quelles ressources il peut accéder. Les politiques de Cedar sont des déclarations d'autorisation ou d'interdiction qui déterminent si un utilisateur peut agir sur une ressource. Les politiques sont associées aux ressources, et vous pouvez associer plusieurs politiques à une ressource. Les politiques d'interdiction l'emportent sur les politiques d'autorisation. Lorsqu'un utilisateur de votre application tente d'effectuer une action sur une ressource, votre application envoie une demande d'autorisation au moteur de politiques Cedar. Cedar évalue les politiques applicables et renvoie une ALLOW DENY décision. Cedar prend en charge les règles d'autorisation pour tout type de principal et de ressource, permet un contrôle d'accès basé sur les rôles et les attributs, et soutient l'analyse par le biais d'outils de raisonnement automatisés qui peuvent vous aider à optimiser vos politiques et à valider votre modèle de sécurité.

  • AWSIdentity and Access Management (IAM) Access Analyzer vous aide à rationaliser la gestion des autorisations. Vous pouvez utiliser cette fonctionnalité pour définir des autorisations détaillées, vérifier les autorisations prévues et affiner les autorisations en supprimant les accès non utilisés. IAMAccess Analyzer génère une politique précise basée sur l'activité d'accès enregistrée dans vos journaux. Il fournit également plus de 100 vérifications de politiques pour vous aider à créer et à valider vos politiques. IAMAccess Analyzer utilise une sécurité prouvable pour analyser les chemins d'accès et fournir des résultats complets concernant l'accès public et multicompte à vos ressources. Cet outil est basé sur Zelkova, qui traduit IAM les politiques en déclarations logiques équivalentes et exécute une suite de résolveurs logiques spécialisés et à usage général (théories du modulo de satisfaisabilité) pour résoudre le problème. IAMAccess Analyzer applique Zelkova à plusieurs reprises à une politique avec des requêtes de plus en plus spécifiques pour caractériser les catégories de comportements autorisées par la politique, en fonction du contenu de la politique. L'analyseur n'examine pas les journaux d'accès pour déterminer si une entité externe a accédé à une ressource située dans votre zone de confiance. Il génère une constatation lorsqu'une politique basée sur les ressources autorise l'accès à une ressource, même si l'entité externe n'y a pas accédé. Pour en savoir plus sur les théories modulo de la satisfaisabilité, voir Théories du modulo de la satisfaisabilité dans le manuel de la satisfaisabilité. *

  • Amazon S3 Block Public Access est une fonctionnalité d'Amazon S3 qui vous permet de bloquer d'éventuelles erreurs de configuration susceptibles d'entraîner un accès public à vos compartiments et à vos objets. Vous pouvez activer Amazon S3 Block Public Access au niveau du bucket ou du compte (ce qui affecte à la fois les buckets existants et les nouveaux compartiments du compte). L'accès public est accordé aux compartiments et aux objets par le biais de listes de contrôle d'accès (ACLs), de politiques de compartiments, ou des deux. Pour déterminer si une politique donnée ACL est considérée comme publique, on utilise le système de raisonnement automatisé Zelkova. Amazon S3 utilise Zelkova pour vérifier la politique de chaque compartiment et vous avertit si un utilisateur non autorisé est en mesure de lire ou d'écrire dans votre compartiment. Si un compartiment est marqué comme public, certaines demandes publiques sont autorisées à y accéder. Si un bucket est marqué comme non public, toutes les demandes publiques sont refusées. Zelkova est capable de prendre de telles décisions parce qu'elle possède une représentation mathématique précise des IAM politiques. Il crée une formule pour chaque politique et prouve un théorème à propos de cette formule.

  • Amazon VPC Network Access Analyzer est une fonctionnalité d'Amazon VPC qui vous aide à comprendre les chemins réseau potentiels vers vos ressources et à identifier les accès réseau non intentionnels potentiels. Network Access Analyzer vous aide à vérifier la segmentation du réseau, à identifier l'accessibilité à Internet et à vérifier les chemins réseau et les accès réseau fiables. Cette fonctionnalité utilise des algorithmes de raisonnement automatisés pour analyser les chemins réseau qu'un paquet peut emprunter entre les ressources d'un AWS réseau. Il produit ensuite des résultats pour les chemins correspondant à vos étendues d'accès réseau, qui définissent les modèles de trafic sortant et entrant. L’analyseur d’accès réseau effectue une analyse statique de la configuration d’un réseau, ce qui signifie qu’aucun paquet n’est transmis sur le réseau dans le cadre de cette analyse.

  • Amazon VPC Reachability Analyzer est une fonctionnalité d'VPCAmazon qui vous permet de déboguer, de comprendre et de visualiser la connectivité de votre réseau. AWS Reachability Analyzer est un outil d'analyse de configuration qui vous permet d'effectuer des tests de connectivité entre une ressource source et une ressource de destination dans vos clouds privés virtuels (). VPCs Lorsque la destination est accessible, Reachability Analyzer hop-by-hop fournit des informations détaillées sur le chemin réseau virtuel entre la source et la destination. Lorsque la destination n'est pas accessible, Reachability Analyzer identifie le composant bloquant. Reachability Analyzer utilise un raisonnement automatique pour identifier les chemins réalisables en élaborant un modèle de configuration réseau entre une source et une destination. Il vérifie ensuite l'accessibilité en fonction de la configuration. Il n'envoie pas de paquets et n'analyse pas le plan de données.

* Biere, A. M. Heule, H. van Maaren et T. Walsh. 2009. Manuel de satisfaisabilité. IOSAppuyez sur,NLD.