AI/ML per la sicurezza

Amazon Macie è un servizio di sicurezza dei dati che utilizza il machine learning e il pattern matching per scoprire e proteggere i tuoi dati sensibili. Macie rileva automaticamente un ampio e crescente elenco di tipi di dati sensibili, tra cui informazioni di identificazione personale (PII) come nomi, indirizzi e informazioni finanziarie come numeri di carte di credito. Inoltre, ti offre una visibilità costante sui dati archiviati in Amazon Simple Storage Service (Amazon S3). Macie utilizza l'elaborazione del linguaggio naturale (NLP) e modelli ML addestrati su diversi tipi di set di dati per comprendere i dati esistenti e assegnare valori aziendali per dare priorità ai dati aziendali critici. Macie genera quindi risultati di dati sensibili.

Amazon GuardDuty è un servizio di rilevamento delle minacce che utilizza il machine learning, il rilevamento delle anomalie e l'intelligence integrata sulle minacce per monitorare continuamente attività dannose e comportamenti non autorizzati e proteggere AWS account, istanze, carichi di lavoro serverless e container, utenti, database e storage. GuardDuty incorpora tecniche di machine learning estremamente efficaci nel distinguere le attività potenzialmente dannose degli utenti dai comportamenti operativi anomali ma benigni all'interno degli account. AWS Questa funzionalità modella continuamente API le chiamate all'interno di un account e incorpora previsioni probabilistiche per isolare e avvisare in modo più accurato i comportamenti altamente sospetti degli utenti. Questo approccio aiuta a identificare le attività dannose associate a tattiche di minaccia note, tra cui il rilevamento, l'accesso iniziale, la persistenza, l'escalation dei privilegi, l'evasione della difesa, l'accesso alle credenziali, l'impatto e l'esfiltrazione dei dati. Per ulteriori informazioni su come GuardDuty utilizza l'apprendimento automatico, consulta la sessione di approfondimento di AWS RE:InForce 2023 Sviluppare nuove scoperte utilizzando l'apprendimento automatico in Amazon GuardDuty (0). TDR31

Amazon CodeGuru Security è uno strumento statico di test della sicurezza delle applicazioni (SAST) che combina ML e ragionamento automatico per identificare le vulnerabilità nel codice e fornire consigli su come correggerle e monitorarne lo stato fino alla chiusura. CodeGuru La sicurezza rileva i 10 problemi principali identificati da Open Worldwide Application Security Project (OWASP), i 25 principali problemi identificati da Common Weakness Enumeration (CWE), l'iniezione di log, i segreti e l'uso non sicuro di and. AWS APIs SDKs CodeGuru La sicurezza si ispira anche alle best practice di AWS sicurezza ed è stata addestrata su milioni di righe di codice presso Amazon.

CodeGuru La sicurezza è in grado di identificare le vulnerabilità del codice con un tasso di verità positivo molto elevato grazie alla sua analisi semantica approfondita. Questo aiuta gli sviluppatori e i team di sicurezza ad avere fiducia nelle linee guida, il che si traduce in un aumento della qualità. Questo servizio viene addestrato utilizzando regole di rule mining e modelli ML supervisionati che utilizzano una combinazione di regressione logistica e reti neurali. Ad esempio, durante l'addestramento in caso di fughe di dati sensibili, CodeGuru Security esegue un'analisi completa del codice per i percorsi di codice che utilizzano la risorsa o accedono a dati sensibili, crea un set di funzionalità che li rappresenta e quindi utilizza i percorsi di codice come input per modelli di regressione logistica e reti neurali convoluzionali (). CNNs La funzionalità di tracciamento dei bug CodeGuru di sicurezza rileva automaticamente quando un bug viene chiuso. L'algoritmo di tracciamento dei bug assicura di disporre di up-to-date informazioni sul livello di sicurezza dell'organizzazione senza ulteriori sforzi. Per iniziare a esaminare il codice, puoi associare gli archivi di codice esistenti su GitHub Enterprise GitHub, Bitbucket o sulla console. AWS CodeCommit CodeGuru Il design API basato sulla CodeGuru sicurezza offre funzionalità di integrazione che è possibile utilizzare in qualsiasi fase del flusso di lavoro di sviluppo.

Amazon Verified Permissions è un servizio scalabile di gestione delle autorizzazioni e di autorizzazione granulare per le applicazioni che crei. Verified Permissions utilizza Cedar, un linguaggio open source per il controllo degli accessi creato utilizzando ragionamenti automatici e test differenziali. Cedar è un linguaggio per definire le autorizzazioni come politiche che descrivono chi deve avere accesso a quali risorse. È anche una specifica per la valutazione di tali politiche. Utilizzate le politiche Cedar per controllare ciò che ogni utente della vostra applicazione è autorizzato a fare e a quali risorse può accedere. Le politiche Cedar sono dichiarazioni di autorizzazione o divieto che determinano se un utente può agire su una risorsa. Le politiche sono associate alle risorse ed è possibile allegare più politiche a una risorsa. Le politiche di divieto hanno la precedenza sulle politiche di autorizzazione. Quando un utente dell'applicazione tenta di eseguire un'azione su una risorsa, l'applicazione invia una richiesta di autorizzazione al motore di policy Cedar. Cedar valuta le politiche applicabili e restituisce una ALLOW decisione or. DENY Cedar supporta le regole di autorizzazione per qualsiasi tipo di principale e risorsa, consente il controllo degli accessi basato sui ruoli e sugli attributi e supporta l'analisi tramite strumenti di ragionamento automatizzati che possono aiutare a ottimizzare le politiche e a convalidare il modello di sicurezza.

AWSIdentity and Access Management (IAM) Access Analyzer consente di semplificare la gestione delle autorizzazioni. È possibile utilizzare questa funzionalità per impostare autorizzazioni dettagliate, verificare le autorizzazioni previste e perfezionare le autorizzazioni rimuovendo l'accesso non utilizzato. IAMAccess Analyzer genera una politica dettagliata basata sull'attività di accesso registrata nei log. Fornisce inoltre oltre 100 controlli delle politiche per aiutarti a creare e convalidare le tue politiche. IAMAccess Analyzer utilizza una sicurezza comprovata per analizzare i percorsi di accesso e fornire risultati completi per l'accesso pubblico e interaccount alle risorse. Questo strumento è basato su Zelkova, che traduce IAM le politiche in istruzioni logiche equivalenti ed esegue una suite di risolutori logici generici e specializzati (teorie dei moduli di soddisfacibilità) per risolvere il problema. IAMAccess Analyzer applica ripetutamente Zelkova a una policy con domande sempre più specifiche per caratterizzare le classi di comportamenti consentite dalla policy, in base al contenuto della policy. L'analizzatore non esamina i log di accesso per determinare se un'entità esterna ha avuto accesso a una risorsa all'interno della zona di fiducia dell'utente. Genera un risultato quando una politica basata sulle risorse consente l'accesso a una risorsa, anche se l'entità esterna non ha avuto accesso alla risorsa. Per saperne di più sulle teorie dei moduli di soddisfacibilità, vedi Satisfiability Modulo Theories in Handbook of Satisfiability. ^*

Amazon S3 Block Public Access è una funzionalità di Amazon S3 che consente di bloccare possibili configurazioni errate che potrebbero portare all'accesso pubblico ai bucket e agli oggetti. Puoi abilitare Amazon S3 Block Public Access a livello di bucket o account (il che influisce sia sui bucket esistenti che su quelli nuovi nell'account). L'accesso pubblico è concesso a bucket e oggetti tramite liste di controllo degli accessi (ACLs), policy di bucket o entrambe. La determinazione se una determinata politica ACL è considerata pubblica viene effettuata utilizzando il sistema di ragionamento automatizzato Zelkova. Amazon S3 utilizza Zelkova per verificare la policy di ogni bucket e ti avvisa se un utente non autorizzato è in grado di leggere o scrivere nel tuo bucket. Se un bucket è contrassegnato come pubblico, alcune richieste pubbliche possono accedere al bucket. Se un bucket è contrassegnato come non pubblico, tutte le richieste pubbliche vengono rifiutate. Zelkova è in grado di effettuare tali determinazioni perché ha una rappresentazione matematica precisa delle politiche. IAM Crea una formula per ogni politica e dimostra un teorema su quella formula.

Amazon VPC Network Access Analyzer è una funzionalità di Amazon VPC che ti aiuta a comprendere i potenziali percorsi di rete verso le tue risorse e a identificare potenziali accessi non intenzionali alla rete. Network Access Analyzer ti aiuta a verificare la segmentazione della rete, identificare l'accessibilità a Internet e verificare percorsi di rete e accessi alla rete affidabili. Questa funzionalità utilizza algoritmi di ragionamento automatico per analizzare i percorsi di rete che un pacchetto può percorrere tra le risorse di una rete. AWS Quindi produce risultati per i percorsi che corrispondono agli ambiti di accesso alla rete, che definiscono i modelli di traffico in uscita e in entrata. Strumento di analisi degli accessi alla rete esegue un'analisi statica di una configurazione di rete, il che significa che nessun pacchetto viene trasmesso nella rete come parte di questa analisi.

Amazon VPC Reachability Analyzer è una funzionalità di VPC Amazon che consente di eseguire il debug, comprendere e visualizzare la connettività nella rete. AWS Reachability Analyzer è uno strumento di analisi della configurazione che consente di eseguire test di connettività tra una risorsa di origine e una risorsa di destinazione nei cloud privati virtuali (). VPCs Quando la destinazione è raggiungibile, Reachability Analyzer hop-by-hop produce dettagli sul percorso di rete virtuale tra l'origine e la destinazione. Quando la destinazione non è raggiungibile, Reachability Analyzer identifica il componente di blocco. Reachability Analyzer utilizza il ragionamento automatico per identificare percorsi possibili costruendo un modello della configurazione di rete tra un'origine e una destinazione. Quindi verifica la raggiungibilità in base alla configurazione. Non invia pacchetti né analizza il piano dati.