📢 转载信息
原文链接:https://www.wired.com/story/amazon-autonomous-threat-analysis/
原文作者:Lily Hay Newman
随着生成式AI推动着软件开发的速度,它也增强了数字攻击者进行以经济利益为目的或国家支持的黑客攻击的能力。这意味着科技公司的安全团队在应对来自恶意行为者的更大压力时,需要审查的代码比以往任何时候都多。周一,亚马逊将首次公布其内部系统“自主威胁分析”(Autonomous Threat Analysis, ATA)的详细信息。该公司一直在使用该系统来帮助其安全团队主动识别平台中的弱点,执行变体分析以快速搜索其他类似缺陷,然后开发补救措施和检测能力,以便在攻击者发现漏洞之前将其堵住。
ATA诞生于2024年8月亚马逊内部的一次黑客马拉松,安全团队成员表示,自那时起,它已发展成为一个至关重要的工具。ATA背后的关键概念是,它不是一个为全面进行安全测试和威胁分析而开发的单一AI代理。相反,亚马逊开发了多个专业化的AI代理,它们在两个团队中相互竞争,以快速调查真实的攻击技术以及可能对亚马逊系统使用的不同方式——然后提出供人类审查的安全控制措施。
亚马逊首席安全官史蒂夫·施密特(Steve Schmidt)告诉WIRED:“最初的概念旨在解决安全测试中的一个关键限制——覆盖面有限,以及在快速发展的威胁环境中保持检测能力与时俱进的挑战。”他说:“覆盖面有限意味着你无法遍历所有的软件或所有的应用程序,因为你的人手不够。而且,对一套软件进行分析固然很好,但如果你不跟上威胁环境的变化来更新检测系统本身,你就错失了一半的图景。”
作为扩大ATA使用范围的一部分,亚马逊开发了特殊的“高保真”测试环境,这些环境是亚马逊生产系统的深度逼真的反映,因此ATA可以为分析摄取和产生真实的遥测数据。
该公司的安全团队还特意设计了ATA,使其采用的每种技术、产生的每种检测能力,都通过真实、自动化的测试和系统数据得到验证。旨在发现可能对亚马逊系统产生攻击的“红队”代理,在其特殊的测试环境中执行实际命令,从而产生可验证的日志。专注于防御的“蓝队”代理则利用真实遥测数据来确认它们提出的保护措施是否有效。每当一个代理开发出一种新颖的技术时,它还会提取带时间戳的日志来证明其说法的准确性。
施密特表示,这种可验证性减少了误报(false positives),并充当了“幻觉管理”。因为系统的构建要求具备特定标准的可见证据,施密特声称“在架构上,幻觉是不可能的。”
ATA中专业代理团队协同工作的事实——每个代理都贡献其专业知识以实现更大的目标——模仿了人类在安全测试和防御开发中协作的方式。亚马逊安全工程师迈克尔·莫兰(Michael Moran)表示,AI提供的不同之处在于它能够快速生成攻击技术的新变体和组合,然后以人类单独操作时耗时过高的方式提出修复方案。
莫兰是2024年黑客马拉松上最初提出ATA的工程师之一,他说:“我进来时带着所有新颖的技术,然后说:‘我想知道这个是否有效?’现在我有了一个完整的脚手架,而且很多基础工作都替我做好了(在调查方面)。”他说:“这让我的工作更有趣了,但也使得一切都能以机器速度运行。”
施密特还提到,ATA在查看特定攻击能力并生成防御措施方面已经非常有效。在一个例子中,该系统专注于Python的“反向Shell”技术,黑客利用此技术操纵目标设备以启动到攻击者计算机的远程连接。在数小时内,ATA发现了新的潜在反向Shell策略,并为亚马逊的防御系统提出了检测方法,这些方法被证明是100%有效的。
ATA自主工作,但它采用了“人在回路中”(human in the loop)的方法,要求真实人员在实际对亚马逊的安全系统实施更改之前进行输入。施密特坦诚,ATA并不能取代先进、细致的人工安全测试。相反,他强调,对于日常威胁分析中涉及的大量单调、重复性的任务,ATA为人力资源腾出了更多时间来处理复杂问题。
他说,下一步是开始在实时事件响应中使用ATA,以便在亚马逊庞大系统遭受实际攻击时实现更快的识别和修复。
施密特说:“AI在幕后完成了繁重的工作。当我们的团队从分析误报中解脱出来时,他们就可以专注于真正的威胁了。”他总结道:“我认为这方面最积极的一点是我们安全工程师的反应,因为他们认为这是一个机会,他们的才能可以部署到最需要的地方。”
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区