Lorsqu’une entreprise a la taille d’Amazon, de nombreux acteurs malveillants s’en prennent à elle et à ses clients, ce qui rend la défense du réseau un travail monstre. Au fil des ans, Amazon a développé un certain nombre de stratégies, allant de l’apprentissage automatique et des outils de surveillance aux appels téléphoniques à l’ancienne pour identifier et réduire les risques pour son réseau.
La société a annoncé lundi une plate-forme parapluie, appelée Mithra, conçue pour gérer l’échelle d’Amazon. Le principal élément technologique sous-jacent à la solution est une base de données de graphes massive avec 3,5 milliards de nœuds et 48 milliards d’arêtes, selon C.J. Moses, directeur de la Sécurité de l’information (CISO) d’Amazon.
Moïse dit en termes simples que Mithra est fondamentalement un grand entonnoir. « Nous devons passer d’un grand nombre de données à de très petites quantités de données. Plus vous avancez dans cet entonnoir, plus vous êtes en mesure d’impliquer les humains pour pouvoir prendre les décisions finales sur ce qui doit être fait », a déclaré Moses à TechCrunch.
Dans certains cas, lorsque le logiciel a un signal fort qu’un domaine est mauvais, les humains n’ont même pas besoin d’être impliqués dans la prise de décision ; à l’échelle d’Amazon, il est important de retirer les humains de la boucle quand ils le peuvent. « Si vous en arrivez à un point où vous avez une forte assurance qu’un domaine est défectueux, nous sommes en mesure de prendre ces données et de les transférer très rapidement directement dans les systèmes qui protègent nos environnements », a déclaré Moses.
Cela peut impliquer le pare-feu d’application Web (WAF), Amazon GuardDuty, le système de détection des menaces de l’entreprise ou même la transmission du domaine en question à l’équipe du service de sécurité AWS pour un examen plus approfondi si nécessaire. Moïse dit que lorsque vous combinez Mithra avec Sonaris, la plate-forme d’observation du réseau de l’entreprise, elle fournit un « assez bon filet défensif autour de nos environnements AWS et Amazon ».
L’échelle d’Amazon est unique. L’entreprise traite un quart de l’ensemble du trafic Internet chaque jour, selon Moses, et elle « observe jusqu’à 200 trillions de requêtes DNS dans une seule région AWS. Mithra détecte en moyenne 182 000 nouveaux domaines malveillants par jour.
L’entreprise a utilisé une combinaison d’IA, de ML, d’algorithmes, de surveillance et d’autres outils, mais au fur et à mesure de sa croissance et de son expansion, elle s’est rendu compte qu’elle avait besoin d’une plate-forme unique dédiée à la surveillance du système pour les domaines malveillants et à les éteindre autant que possible. C’est là qu’intervient Mithra.
L’IA joue un rôle important dans un système aussi grand, bien sûr, et l’entreprise ne serait pas en mesure de gérer une base de données de graphes aussi importante sans l’IA. « La réalité est que l’IA, dans ce cas particulier, ou dans de nombreux cas comme celui-ci, est exactement le type de technologie que vous voulez utiliser pour examiner des quantités de données à grande échelle et identifier à travers ces données, les choses qui devraient nous intéresser », a déclaré Moses. « Et nous pouvons évidemment entraîner l’IA à rechercher les aberrations, à rechercher les choses qui sortent de la norme, ou les choses que nous avons précédemment considérées comme malveillantes. »
Les modèles d’IA peuvent également aider les humains à prendre de meilleures décisions. « Allons-nous bloquer ce domaine ou pas ? Voici une prépondérance des données qui ont été assemblées à partir de Mithra, de Sonaris, d’autres capteurs de menace que nous avons, puis utilisez cette IA pour les rassembler en recommandations aux différents systèmes qui prennent les mesures défensives », a déclaré Moses.
L’IA générative a un rôle à jouer car elle permet aux analystes de menaces, qui effectuent la chasse aux menaces, d’interagir avec les données dans un langage simple et d’obtenir des réponses pour aider à mieux comprendre la situation. Auparavant, ils auraient dû exécuter des scripts, mais l’IA générative offre un moyen plus rapide de voir ce qui se passe.
Parfois, il ne s’agit pas de fermer des domaines ou de la sophistication de la technologie, mais simplement de pouvoir décrocher le téléphone et d’appeler un collègue RSSI pour lui dire ce que son équipe constate. « Une partie de notre plus gros investissement consiste à nous assurer que nous disposons d’un réseau de RSSI très viable afin que nous puissions décrocher le téléphone et appeler quelqu’un à 2 heures du matin et ne pas qu’il s’agisse d’un appel à froid, même s’il ne s’agit pas d’un de nos clients », a-t-il déclaré.
Mithra a été officiellement lancé lundi, et il fonctionne sur des systèmes internes à l’intérieur d’Amazon au lieu d’être un service pour lequel les clients paient directement.