En un mundo donde el avance de la inteligencia artificial (IA) acelera el desarrollo de software, también se ha convertido en una herramienta poderosa para los atacantes digitales. Esto plantea un desafío significativo para los equipos de seguridad, quienes deben revisar un volumen creciente de código mientras enfrentan una presión constante de actores maliciosos. En este contexto, Amazon ha decidido dar un paso adelante al presentar su sistema de Análisis Autónomo de Amenazas (ATA), diseñado para ayudar a sus equipos de seguridad a identificar proactivamente vulnerabilidades.
El ATA nació durante un hackathon interno en agosto de, y desde entonces, su importancia ha crecido de manera exponencial. A diferencia de un único agente de IA, Amazon ha desarrollado una serie de agentes especializados que compiten en dos equipos. Su objetivo es investigar rápidamente técnicas de ataque en tiempo real y proponer controles de seguridad que luego son revisados por humanos.
El enfoque innovador del ATA
El concepto central detrás del ATA es abordar las limitaciones en la cobertura de las pruebas de seguridad y la dificultad de mantener los sistemas de detección actualizados ante un panorama de amenazas en constante evolución.
Steve Schmidt, el director de seguridad de Amazon, explica que la escasez de personal humano limita la capacidad de analizar todo el software disponible. Por lo tanto, es crucial no solo realizar análisis, sino también actualizar constantemente los sistemas que detectan amenazas.
Entornos de prueba de alta fidelidad
Para maximizar la efectividad del ATA, Amazon ha creado entornos de prueba altamente realistas que simulan con precisión sus sistemas de producción.
Esto permite que el ATA analice y genere datos reales para su evaluación. Además, cada técnica utilizada y cada capacidad de detección generada por el sistema se valida mediante pruebas automáticas y datos del sistema.
Los agentes del equipo rojo, responsables de encontrar ataques potenciales, ejecutan comandos reales en estos entornos de prueba, creando registros que son verificables. Por su parte, los agentes defensivos, conocidos como equipo azul, utilizan datos de telemetría real para validar la efectividad de las protecciones que proponen.
Así, cada vez que un agente desarrolla una técnica nueva, también se generan registros con marca de tiempo que corroboran la validez de sus afirmaciones.
Colaboración entre humanos y máquinas
La dinámica de trabajo en ATA, donde los agentes especializados colaboran, refleja la forma en que los humanos suelen trabajar en la prueba de seguridad y en el desarrollo de defensas. Según el ingeniero de seguridad de Amazon, Michael Moran, la IA permite generar rápidamente nuevas variaciones y combinaciones de técnicas ofensivas, proponiendo remediaciones a una escala que sería inviable solo para humanos.
Moran, quien fue uno de los ingenieros que propuso el ATA, menciona: «Ahora tengo todo un andamiaje que facilita mi trabajo, lo que lo hace mucho más divertido y eficiente, permitiendo que todo funcione a la velocidad de la máquina». Esto otorga a los ingenieros la oportunidad de concentrarse en problemas más complejos y menos en tareas repetitivas.
Resultados prometedores en la defensa
El ATA ha demostrado ser eficaz en la identificación de capacidades de ataque y en la generación de defensas. Por ejemplo, al centrarse en técnicas de shell reverso en Python, que los hackers utilizan para manipular dispositivos objetivo, el sistema logró descubrir nuevas tácticas en cuestión de horas, generando propuestas de detección que resultaron ser completamente efectivas.
Aunque el ATA opera de manera autónoma, utiliza un enfoque de humano en el ciclo, lo que significa que se requiere la intervención de un ser humano antes de implementar cambios en los sistemas de seguridad de Amazon. Schmidt subraya que ATA no sustituye a las pruebas de seguridad avanzadas y matizadas que realizan los humanos, sino que libera a su personal para que se enfoquen en problemas más complejos.
El futuro del ATA incluye su uso en la respuesta a incidentes en tiempo real, lo que permitirá identificar y remediar ataques en las vastas infraestructuras de Amazon más rápidamente. «La IA se encarga del trabajo pesado», concluye Schmidt. «Cuando nuestro equipo no tiene que analizar falsos positivos, puede concentrarse en amenazas reales, lo que es una oportunidad emocionante para nuestros ingenieros de seguridad».
