En un mundo donde la inteligencia artificial generativa acelera el desarrollo de software, las amenazas cibernéticas también están evolucionando rápidamente. Los equipos de seguridad enfrentan el desafío de revisar un volumen sin precedentes de código mientras lidian con un aumento en la actividad de actores maliciosos. Para abordar este complejo panorama de amenazas, Amazon está a punto de revelar su sistema denominado Análisis Autónomo de Amenazas (ATA), diseñado para ayudar a los equipos de seguridad a identificar proactivamente debilidades en sus plataformas.
Este sistema, que surgió de un hackathon interno en agosto de, ha sido un recurso crucial para los especialistas en seguridad de la compañía. A diferencia de un único agente de inteligencia artificial que realiza pruebas de seguridad de manera integral, ATA utiliza múltiples agentes de IA especializados que trabajan en conjunto en equipos para investigar técnicas de ataque reales y proponer soluciones de seguridad.
Un enfoque competitivo para la detección de amenazas
El principio fundamental detrás de ATA es su estructura competitiva. Los agentes de AI se dividen en dos equipos que analizan diversas técnicas de ataque que podrían ser utilizadas en los sistemas de Amazon. El objetivo es proponer controles de seguridad que sean revisados posteriormente por humanos. Steve Schmidt, el director de seguridad de Amazon, enfatiza que esta estrategia aborda una limitación crítica en las pruebas de seguridad: la cobertura limitada.
Según Schmidt, la cobertura limitada significa que los equipos de seguridad, a menudo con recursos humanos insuficientes, no pueden analizar todo el software o las aplicaciones de manera efectiva. Esto se agrava por la necesidad de mantener las capacidades de detección actualizadas, dado que la naturaleza de las amenazas evoluciona de forma constante. Al adoptar un enfoque de múltiples agentes, Amazon puede ampliar su capacidad para detectar y responder a amenazas.
Creando entornos de prueba realistas
Para maximizar la efectividad de ATA, Amazon ha desarrollado entornos de prueba de alta fidelidad que reflejan con precisión sus sistemas de producción. Esto permite que ATA no solo ingrese datos reales para su análisis, sino que también genere telemetría auténtica. Cada técnica y capacidad de detección que produce el sistema es validada mediante pruebas automáticas y datos del sistema, lo que garantiza su fiabilidad.
Los agentes de la red team se encargan de identificar posibles ataques ejecutando comandos reales en estos entornos de prueba, generando registros verificables. Por otro lado, los agentes de la blue team, responsables de la defensa, utilizan esta telemetría para validar la efectividad de las protecciones que están proponiendo. Este ciclo de verificación reduce los falsos positivos y asegura que las intervenciones sean precisas y efectivas.
Colaboración entre humanos y máquinas
A pesar de que ATA opera de manera autónoma, incorpora un enfoque de human-in-the-loop, lo que significa que siempre se requiere la intervención de un ser humano antes de implementar cambios en los sistemas de seguridad de Amazon. Schmidt aclara que ATA no sustituye la necesidad de pruebas de seguridad avanzadas y matizadas realizadas por humanos. En cambio, su función principal es asumir las tareas repetitivas y mundanas de análisis de amenazas, permitiendo que los ingenieros se concentren en problemas más complejos y estratégicos.
Un ingeniero de seguridad de Amazon, Michael Moran, destaca cómo ATA transforma su trabajo. Este sistema permite generar rápidamente nuevas combinaciones de técnicas ofensivas y proponer remedios a una escala que sería imposible solo para los humanos. “Ahora tengo la oportunidad de explorar técnicas novedosas con un soporte robusto que facilita el proceso”, comenta Moran, quien fue uno de los creadores de ATA durante el hackathon.
Resultados prometedores y el futuro de ATA
ATA ha demostrado ser extremadamente eficaz en la identificación de capacidades de ataque y en la generación de defensas adecuadas. Por ejemplo, al enfocarse en técnicas de reverse shell en Python, que permiten a los hackers manipular dispositivos para establecer conexiones remotas, el sistema identificó nuevas tácticas en cuestión de horas y propuso detecciones que resultaron ser 100% efectivas.
Con miras al futuro, Amazon planea utilizar ATA para la respuesta a incidentes en tiempo real, lo que permitirá una identificación y remediación más rápida ante ataques reales en sus vastos sistemas. “La IA se encarga del trabajo pesado tras bambalinas. Al liberar a nuestro equipo de los falsos positivos, pueden concentrarse en amenazas reales”, concluye Schmidt, resaltando la recepción positiva entre los ingenieros de seguridad, quienes ven en ATA una oportunidad para utilizar su talento donde más se necesita.
