С нарастващите способности на генеративния изкуствен интелект хакерите – независимо дали става въпрос за финансово мотивирани групи или такива с разузнавателна цел – получават още по-ефективни средства за атаки. Това поставя огромен натиск върху екипите в звената по киберсигурност, които трябва да анализират повече код от всякога, докато едновременно с това се изправят пред увеличаващи се заплахи.

В този контекст Amazon за първи път разкрива детайли за вътрешна система, наречена Autonomous Threat Analysis (ATA). Тя помага на екипите по сигурност предварително да откриват слаби звена в кода, да проследяват варианти на известни атаки и да разработват защити, преди хакерите да ги открият.

Как започва всичко?

Идеята за ATA се ражда по време на вътрешен хакатон в Amazon през август 2024 г. Оттогава тя се превръща във важен елемент от отбранителната стратегия на компанията. Основната концепция е, че системата не представлява един централен AI агент, който трябва да върши всичко. Вместо това Amazon създава няколко специализирани агенти, разделени в два екипа – „червен“ и „син“, които се съревновават помежду си.

Червеният екип анализира реални техники за атаки и ги тества срещу инфраструктурата на компанията, а синият разработва защитни механизми, след което инженер ги преглежда и одобрява.

„Проблемът идва от ограниченото покритие. Няма как да анализираш целия софтуер, защото просто няма достатъчно хора“, казва Стив Шмит, директор по сигурността в Amazon, пред WIRED. Според него дори най-добрият анализ е безполезен, ако системите за откриване на заплахи не бъдат обновявани с темпото, с което се появяват нови техники от страна на хакерите.

AI върви по тънък лед: Скритите слаби места, които превръщат езиковите модели в новото бойно поле на кибервойната

Компанията изгражда максимално точни среди за тестване, които имитират реалните ѝ системи. ATA работи с истински системни данни, червеният екип изпълнява реални команди, а системата генерира достоверни логове. Синият екип проверява защитите върху реални оперативни данни, а когато някой агент предложи нова техника, той трябва да предостави доказателства чрез автентични, времеви логове.

Човешка експертиза заедно със скоростта на машината

Подходът, който ATA използва, наподобява работата на традиционните екипи по киберсигурност, но с едно ключово предимство – изкуственият интелект може да генерира десетки варианти на атаки само за секунди. Инженерът Майкъл Моран, един от първите, предложили ATA, казва пред WIRED, че системата му позволява да експериментира с нови техники много по-бързо: „Имам готова структура, която поема всичко базово. Работя по-ефективно и по-лесно. Системата работи със скоростта на машина.“

ATA вече показва впечатляващи резултати. В един пример системата анализира Python reverse shell техники, използвани за принуждаване на устройство да установи връзка обратно към машината на атакуващия. Само за часове ATA открива напълно нови потенциални варианти на reverse shell атаки и предлага защитни мерки, които се оказват напълно ефективни.

Цената на кибератаката: Кой какво плаща, когато компаниите нямат защита

AI върши рутинната работа, а човекът – сложните задачи

Въпреки автономния характер на ATA системата действа по принципа „human in the loop“ – нито една промяна не се прилага без човешки контрол. Шмит ясно подчертава, че ATA не е заместител на дълбоките, експертни тестове по сигурност. Но за огромните обеми рутинни задачи системата освобождава време на специалистите, за да се концентрират върху наистина сложните проблеми.

Амбицията на Amazon е ATA да бъде интегрирана директно в реални инциденти – за по-бързо разпознаване и ограничаване на атаки в момента, в който възникнат в глобалната инфраструктура на компанията.

„AI върши тежката работа зад кулисите. Когато екипът ни не се занимава с фалшиви сигнали, той може да се фокусира върху реалните заплахи“, казва Шмит. „А най-положителното е реакцията на инженерите ни. Те виждат ATA като възможност да използват таланта си там, където той има най-голямо значение.“