En un mundo donde la inteligencia artificial está acelerando el desarrollo de software, también se ha convertido en un aliado de los atacantes digitales. Esto ha llevado a las empresas tecnológicas a enfrentarse a una creciente presión por parte de actores maliciosos. Para hacer frente a esta situación, Amazon ha revelado un nuevo sistema conocido como Análisis de Amenazas Autónomas (ATA), diseñado para ayudar a sus equipos de seguridad a identificar proactivamente las debilidades en sus plataformas.
Desarrollado inicialmente durante un hackathon interno en agosto de, el ATA ha evolucionado para convertirse en una herramienta esencial para la detección y remediación de vulnerabilidades. A diferencia de un único agente de inteligencia artificial, el ATA emplea múltiples agentes especializados que compiten en equipos para investigar técnicas de ataque reales y sugerir controles de seguridad que luego son revisados por humanos.
Funcionamiento de ATA y su impacto en la seguridad
Según Steve Schmidt, el director de seguridad de Amazon, el ATA surge como respuesta a limitaciones críticas en las pruebas de seguridad. “La cobertura limitada en la detección de amenazas significa que muchas aplicaciones no pueden ser revisadas debido a la falta de personal”, explica Schmidt. Además, si los sistemas de detección no se actualizan continuamente, muchas vulnerabilidades pueden pasar desapercibidas.
Entornos de prueba de alta fidelidad
Para optimizar su funcionamiento, Amazon ha creado entornos de prueba de alta fidelidad que reflejan de manera precisa sus sistemas de producción.
Esto permite que el ATA no solo analice datos reales, sino que también genere telemetría válida para su evaluación. Este enfoque asegura que cada técnica y capacidad de detección producida por el ATA sea validada mediante pruebas automáticas y datos del sistema.
Los agentes de la red team, encargados de encontrar ataques, ejecutan comandos en estos entornos de prueba, generando registros verificables. Por otro lado, los agentes de la blue team utilizan telemetría real para confirmar la efectividad de las protecciones propuestas.
Esta verificación es crucial para reducir los falsos positivos, un aspecto que Schmidt denomina “gestión de alucinations”. Dado que el sistema exige evidencias observables, las alucinaciones se vuelven “arquitectónicamente imposibles”.
Colaboración entre humanos y máquinas
El diseño colaborativo del ATA, donde los agentes trabajan en conjunto, refleja el enfoque humano en las pruebas de seguridad. Michael Moran, ingeniero de seguridad de Amazon, destaca que la inteligencia artificial permite generar variaciones y combinaciones de técnicas ofensivas a una velocidad que resultaría abrumadora para un equipo humano. “Ahora puedo explorar nuevas técnicas y contar con un soporte robusto que agiliza mi trabajo”, comenta Moran, quien fue uno de los proponentes del ATA en el hackathon.
Ejemplos de efectividad
La eficacia del ATA ya se ha demostrado en situaciones concretas. En un ejercicio, el sistema se centró en técnicas de reverse shell en Python, que los hackers utilizan para manipular dispositivos y establecer conexiones remotas. En cuestión de horas, el ATA identificó nuevas tácticas de reverse shell y propuso detecciones para los sistemas defensivos de Amazon que resultaron ser 100% efectivas.
Un futuro proactivo en la respuesta a incidentes
Aunque el ATA opera de manera autónoma, sigue un enfoque que incluye la intervención humana antes de implementar cambios en los sistemas de seguridad de Amazon. Schmidt enfatiza que esta herramienta no reemplaza la necesidad de pruebas de seguridad humanas avanzadas, sino que permite que los ingenieros se concentren en problemas más complejos al encargarse de las tareas rutinarias.
El siguiente paso para Amazon es integrar el ATA en la respuesta a incidentes en tiempo real, para mejorar la identificación y remediación de ataques en sus vastos sistemas. “La inteligencia artificial se ocupa del trabajo pesado, lo que permite a nuestro equipo enfocarse en amenazas reales”, concluye Schmidt. “La recepción de nuestros ingenieros de seguridad ha sido muy positiva, ya que ven esta herramienta como una oportunidad para maximizar su talento en áreas críticas”.
