AI/ML untuk keamanan

Amazon Macie adalah layanan keamanan data yang menggunakan ML dan pencocokan pola untuk menemukan dan membantu melindungi data sensitif Anda. Macie secara otomatis mendeteksi daftar tipe data sensitif yang besar dan terus bertambah, termasuk informasi yang dapat diidentifikasi secara pribadi (PII) seperti nama, alamat, dan informasi keuangan seperti nomor kartu kredit. Ini juga memberi Anda visibilitas konstan ke data Anda yang disimpan di Amazon Simple Storage Service (Amazon S3). Macie menggunakan pemrosesan bahasa alami (NLP) dan model MLyang dilatih pada berbagai jenis kumpulan data untuk memahami data Anda yang ada dan untuk menetapkan nilai bisnis untuk memprioritaskan data penting bisnis. Macie kemudian menghasilkan temuan data sensitif.

Amazon GuardDuty adalah layanan deteksi ancaman yang menggunakan ML, deteksi anomali, dan intelijen ancaman terintegrasi untuk terus memantau aktivitas berbahaya dan perilaku tidak sah untuk membantu melindungi AWS akun, instans, beban kerja tanpa server dan kontainer, pengguna, database, dan penyimpanan Anda. GuardDuty menggabungkan teknik ML yang sangat efektif dalam membedakan aktivitas pengguna yang berpotensi berbahaya dari perilaku operasional anomali tetapi jinak di dalam akun. AWS Kemampuan ini terus memodelkan API pemanggilan dalam akun dan menggabungkan prediksi probabilistik untuk mengisolasi dan memperingatkan perilaku pengguna yang sangat mencurigakan secara lebih akurat. Pendekatan ini membantu mengidentifikasi aktivitas jahat yang terkait dengan taktik ancaman yang diketahui, termasuk penemuan, akses awal, ketekunan, eskalasi hak istimewa, penghindaran pertahanan, akses kredenal, dampak, dan eksfiltrasi data. Untuk mempelajari lebih lanjut tentang cara GuardDuty menggunakan pembelajaran mesin, lihat sesi breakout AWS re: Inforce 2023 Mengembangkan temuan baru menggunakan pembelajaran mesin di Amazon (0). GuardDuty TDR31

Amazon CodeGuru Security adalah alat pengujian keamanan aplikasi statis (SAST) yang menggabungkan ML dan penalaran otomatis untuk mengidentifikasi kerentanan dalam kode Anda dan untuk memberikan rekomendasi tentang cara memperbaiki kerentanan ini dan melacak statusnya hingga penutupan. CodeGuru Keamanan mendeteksi 10 masalah teratas yang diidentifikasi oleh Open Worldwide Application Security Project (OWASP), 25 masalah teratas yang diidentifikasi oleh Common Weakness Enumeration (CWE), injeksi log, rahasia, dan penggunaan yang tidak aman dari dan. AWS APIs SDKs CodeGuru Keamanan juga meminjam dari praktik terbaik AWS keamanan dan dilatih pada jutaan baris kode di Amazon.

CodeGuru Keamanan dapat mengidentifikasi kerentanan kode dengan tingkat positif sejati yang sangat tinggi karena analisis semantiknya yang mendalam. Ini membantu pengembang dan tim keamanan memiliki kepercayaan pada panduan, yang menghasilkan peningkatan kualitas. Layanan ini dilatih dengan menggunakan penambangan aturan dan model ML yang diawasi yang menggunakan kombinasi regresi logistik dan jaringan saraf. Misalnya, selama pelatihan untuk kebocoran data sensitif, CodeGuru Security melakukan analisis kode lengkap untuk jalur kode yang menggunakan sumber daya atau mengakses data sensitif, membuat kumpulan fitur yang mewakilinya, dan kemudian menggunakan jalur kode sebagai input untuk model regresi logistik dan jaringan saraf convolutional (). CNNs Fitur pelacakan bug CodeGuru Keamanan secara otomatis mendeteksi ketika bug ditutup. Algoritma pelacakan bug memastikan bahwa Anda memiliki up-to-date informasi tentang postur keamanan organisasi Anda tanpa usaha tambahan. Untuk mulai meninjau kode, Anda dapat mengaitkan repositori kode yang ada di GitHub, GitHub Enterprise, Bitbucket, atau AWS CodeCommit di konsol. CodeGuru Desain API berbasis CodeGuru Keamanan menyediakan kemampuan integrasi yang dapat Anda gunakan pada setiap tahap alur kerja pengembangan.

Izin Terverifikasi Amazon adalah manajemen izin yang dapat diskalakan dan layanan otorisasi berbutir halus untuk aplikasi yang Anda buat. Izin Terverifikasi menggunakan Cedar, yang merupakan bahasa sumber terbuka untuk kontrol akses yang dibangun dengan menggunakan penalaran otomatis dan pengujian diferensial. Cedar adalah bahasa untuk mendefinisikan izin sebagai kebijakan yang menjelaskan siapa yang harus memiliki akses ke sumber daya mana. Ini juga merupakan spesifikasi untuk mengevaluasi kebijakan tersebut. Gunakan kebijakan Cedar untuk mengontrol apa yang diizinkan dilakukan oleh setiap pengguna aplikasi Anda dan sumber daya mana yang dapat mereka akses. Kebijakan Cedar adalah pernyataan izin atau larangan yang menentukan apakah pengguna dapat bertindak berdasarkan sumber daya. Kebijakan dikaitkan dengan sumber daya, dan Anda dapat melampirkan beberapa kebijakan ke sumber daya. Kebijakan melarang mengesampingkan kebijakan izin. Ketika pengguna aplikasi Anda mencoba melakukan tindakan pada sumber daya, aplikasi Anda membuat permintaan otorisasi ke mesin kebijakan Cedar. Cedar mengevaluasi kebijakan yang berlaku dan mengembalikan keputusan ALLOW atauDENY. Cedar mendukung aturan otorisasi untuk semua jenis prinsipal dan sumber daya, memungkinkan kontrol akses berbasis peran dan atribut, dan mendukung analisis melalui alat penalaran otomatis yang dapat membantu mengoptimalkan kebijakan Anda dan memvalidasi model keamanan Anda.

AWSIdentity and Access Management (IAM) Access Analyzer membantu Anda merampingkan pengelolaan izin. Anda dapat menggunakan fitur ini untuk mengatur izin berbutir halus, memverifikasi izin yang dimaksudkan, dan memperbaiki izin dengan menghapus akses yang tidak digunakan. IAMAccess Analyzer menghasilkan kebijakan berbutir halus berdasarkan aktivitas akses yang ditangkap di log Anda. Ini juga menyediakan lebih dari 100 pemeriksaan kebijakan untuk membantu Anda membuat dan memvalidasi kebijakan Anda. IAMAccess Analyzer menggunakan keamanan yang dapat dibuktikan untuk menganalisis jalur akses dan memberikan temuan komprehensif untuk akses publik dan lintas akun ke sumber daya Anda. Alat ini dibangun di atas Zelkova, yang menerjemahkan IAM kebijakan ke dalam pernyataan logis yang setara dan menjalankan serangkaian pemecah logis tujuan umum dan khusus (teori modulo kepuasan) terhadap masalah tersebut. IAMAccess Analyzer menerapkan Zelkova berulang kali pada kebijakan dengan kueri yang semakin spesifik untuk mengkarakterisasi kelas perilaku yang diizinkan kebijakan, berdasarkan konten kebijakan. Analyzer tidak memeriksa log akses untuk menentukan apakah entitas eksternal mengakses sumber daya dalam zona kepercayaan Anda. Ini menghasilkan temuan ketika kebijakan berbasis sumber daya memungkinkan akses ke sumber daya, bahkan jika sumber daya tidak diakses oleh entitas eksternal. Untuk mempelajari lebih lanjut tentang teori modulo kepuasan, lihat Teori Modulo Kepuasan dalam Buku Pegangan Kepuasan. ^*

Amazon S3 Block Public Access adalah fitur Amazon S3 yang memungkinkan Anda memblokir kemungkinan kesalahan konfigurasi yang dapat menyebabkan akses publik ke ember dan objek Anda. Anda dapat mengaktifkan Amazon S3 Blokir Akses Publik di tingkat bucket atau tingkat akun (yang memengaruhi bucket yang ada dan baru di akun). Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACLs), kebijakan bucket, atau keduanya. Penentuan apakah kebijakan tertentu atau ACL dianggap publik dilakukan dengan menggunakan sistem penalaran otomatis Zelkova. Amazon S3 menggunakan Zelkova untuk memeriksa setiap kebijakan bucket dan memperingatkan Anda jika pengguna yang tidak sah dapat membaca atau menulis ke bucket Anda. Jika bucket ditandai sebagai publik, beberapa permintaan publik diizinkan untuk mengakses bucket. Jika bucket ditandai sebagai tidak publik, semua permintaan publik ditolak. Zelkova mampu membuat penentuan seperti itu karena memiliki representasi matematis yang tepat dari kebijakan. IAM Ini menciptakan formula untuk setiap kebijakan dan membuktikan teorema tentang rumus itu.

Amazon VPC Network Access Analyzer adalah fitur Amazon VPC yang membantu Anda memahami jalur jaringan potensial ke sumber daya Anda, dan mengidentifikasi potensi akses jaringan yang tidak diinginkan. Network Access Analyzer membantu Anda memverifikasi segmentasi jaringan, mengidentifikasi aksesibilitas internet, dan memverifikasi jalur jaringan dan akses jaringan tepercaya. Fitur ini menggunakan algoritma penalaran otomatis untuk menganalisis jalur jaringan yang dapat diambil paket antara sumber daya dalam jaringan. AWS Kemudian menghasilkan temuan untuk jalur yang sesuai dengan Lingkup Akses Jaringan Anda, yang menentukan pola lalu lintas keluar dan masuk. Network Access Analyzer melakukan analisis statis dari konfigurasi jaringan, yang berarti bahwa tidak ada paket yang ditransmisikan dalam jaringan sebagai bagian dari analisis ini.

Amazon VPC Reachability Analyzer adalah fitur VPC Amazon yang memungkinkan Anda men-debug, memahami, dan memvisualisasikan konektivitas di jaringan Anda. AWS Reachability Analyzer adalah alat analisis konfigurasi yang memungkinkan Anda melakukan pengujian konektivitas antara sumber daya sumber dan sumber daya tujuan di cloud pribadi virtual Anda (). VPCs Ketika tujuan dapat dijangkau, Reachability hop-by-hop Analyzer menghasilkan rincian jalur jaringan virtual antara sumber dan tujuan. Ketika tujuan tidak dapat dijangkau, Reachability Analyzer mengidentifikasi komponen pemblokiran. Reachability Analyzer menggunakan penalaran otomatis untuk mengidentifikasi jalur yang layak dengan membangun model konfigurasi jaringan antara sumber dan tujuan. Kemudian memeriksa jangkauan berdasarkan konfigurasi. Itu tidak mengirim paket atau menganalisis pesawat data.