Lorsqu’une entreprise est de la taille d’Amazon, de nombreux acteurs malveillants s’en prennent à elle et à ses clients, ce qui rend la défense du réseau un travail titanesque. Au fil des ans, Amazon a développé un certain nombre de stratégies, allant de l’apprentissage automatique et des outils de surveillance aux bons vieux appels téléphoniques pour identifier et réduire les risques pour son réseau.
L’entreprise a annoncé lundi une plateforme globale, appelée Mithra, conçue pour gérer l’échelle d’Amazon. La principale technologie sous-jacente à la solution est une base de données de graphes massive avec 3,5 milliards de nœuds et 48 milliards d’arêtes, selon CJ Moses, responsable de la sécurité des systèmes d’information (CISO) d’Amazon.
Moses explique en termes simples que Mithra est en fait un grand entonnoir. « Nous devons passer d’une grande quantité de données à de très petites quantités de données. Plus vous descendez dans cet entonnoir, plus vous êtes en mesure de faire participer les humains pour qu’ils puissent prendre les décisions finales sur ce qui doit être fait », a déclaré Moses à TechCrunch.
Dans certains cas, lorsque le logiciel a un signal fort indiquant qu’un domaine est défectueux, il n’est même pas nécessaire que des humains interviennent dans la prise de décision. À l’échelle d’Amazon, il est important de retirer les humains de la boucle lorsque cela est possible. « Si vous parvenez à un point où vous avez la certitude qu’un domaine est défectueux, nous sommes en mesure de prendre ces données et de les transférer très rapidement directement vers les systèmes qui protègent nos environnements », a déclaré Moses.
Cela peut impliquer le pare-feu d’application Web (WAF), Amazon GuardDuty, le système de détection des menaces de l’entreprise ou même la transmission du domaine en question à l’équipe du service de sécurité AWS pour un examen plus approfondi si nécessaire. Moses dit que lorsque vous combinez Mithra avec Sonarla plateforme d’observation du réseau de l’entreprise, fournit un « très bon filet défensif autour de nos environnements AWS et Amazon ».
L’envergure d’Amazon est unique. Selon Moses, l’entreprise gère un quart du trafic Internet quotidien et « observe jusqu’à 200 000 milliards de requêtes DNS dans une seule région AWS. Mithra détecte en moyenne 182 000 nouveaux domaines malveillants par jour. »
L’entreprise utilise une combinaison d’IA, de ML, d’algorithmes, de surveillance et d’autres outils, mais à mesure qu’elle grandit et évolue, elle a réalisé qu’elle avait besoin d’une plate-forme unique dédiée à la surveillance du système pour détecter les domaines malveillants et les éradiquer autant que possible. C’est là qu’intervient Mithra.
L’IA joue un rôle important dans un système de cette envergure, bien sûr, et l’entreprise ne serait pas en mesure de gérer une base de données de graphes aussi volumineuse sans l’IA. « La réalité est que l’IA, dans ce cas particulier, ou dans de nombreux cas comme celui-ci, est exactement le type de technologie que l’on souhaite utiliser pour examiner des quantités de données à grande échelle et identifier dans ces données les éléments qui devraient nous intéresser », a déclaré Moses. « Et nous pouvons évidemment entraîner l’IA à rechercher les aberrations, à rechercher les éléments qui sortent de la norme ou ceux que nous avons déjà considérés comme malveillants. »
Les modèles d’IA peuvent également aider les humains à prendre de meilleures décisions. « Allons-nous bloquer ce domaine ou non ? Voici une prépondérance des données qui ont été rassemblées à partir de Mithra, de Sonaris, d’autres capteurs de menaces dont nous disposons, puis nous utilisons cette IA pour les fusionner en recommandations aux différents systèmes qui prennent les mesures défensives », a déclaré Moses.
L’IA générative a un rôle à jouer car elle permet aux analystes de menaces, qui effectuent la chasse aux menaces, d’interagir avec les données en langage clair et d’obtenir des réponses pour mieux comprendre la situation. Auparavant, ils devaient exécuter des scripts, mais l’IA générative offre un moyen plus rapide de voir ce qui se passe.
Parfois, il ne s’agit pas de fermer des domaines ou de savoir à quel point la technologie est sophistiquée, mais simplement de pouvoir décrocher le téléphone et appeler un collègue CISO pour lui faire part de ce que son équipe constate. « L’un de nos plus gros investissements consiste à nous assurer que nous disposons d’un réseau de CISO très viable afin que nous puissions décrocher le téléphone et appeler quelqu’un à 2 heures du matin et qu’il ne s’agisse pas d’un appel à froid, même s’il ne s’agit pas de nos clients », a-t-il déclaré.
Mithra a été lancé officiellement lundi et fonctionne sur des systèmes internes d’Amazon, au lieu d’être un service pour lequel les clients paient directement.