Lorsqu'une entreprise est de la taille d'Amazon, de nombreux acteurs malveillants s'en prennent à elle et à ses clients, ce qui rend la défense du réseau un travail de titan. Au fil des ans, Amazon a développé plusieurs stratégies, allant de l'apprentissage automatique et des outils de surveillance aux bons vieux appels téléphoniques pour identifier et réduire les risques pour son réseau.
L'entreprise a révélé lundi pour la première fois une plateforme interne qui est en place depuis plusieurs années, appelée Mithra, qu'elle a construite pour gérer l'échelle d'Amazon. La principale technologie sous-jacente à la solution est une énorme base de données graphique avec 3,5 milliards de nœuds et 48 milliards d'arêtes, selon C.J. Moses, responsable de la sécurité des informations d'Amazon (CISO).
Moses explique en termes simples que Mithra est essentiellement un grand entonnoir. "Nous devons passer de beaucoup de données à de très petites quantités de données. Plus vous descendez dans cet entonnoir, plus vous êtes en mesure d'impliquer les humains pour prendre les décisions finales sur ce qui doit être fait", a déclaré Moses à TechCrunch.
Dans certains cas, lorsque le logiciel a un fort signal qu'un domaine est malveillant, les humains n'ont même pas besoin d'être impliqués dans la prise de décision ; à l'échelle d'Amazon, éliminer les humains de la boucle quand c'est possible est important. "Si vous arrivez au point où vous avez une forte assurance qu'un domaine est malveillant, nous sommes capables de prendre ces données et de les transférer très rapidement directement dans les systèmes qui protègent nos environnements", a déclaré Moses.
Cela pourrait impliquer le pare-feu d'application Web (WAF), Amazon GuardDuty, le système de détection de menaces de l'entreprise ou même transmettre le domaine en question à l'équipe de sécurité AWS pour un examen plus approfondi lorsque cela est nécessaire. Moses explique qu'en combinant Mithra avec Sonaris, la plateforme d'observation du réseau de l'entreprise, cela fournit "un filet défensif assez solide autour de nos environnements AWS et Amazon."
L'échelle d'Amazon est unique. Selon Moses, l'entreprise traite un quart de tout le trafic Internet chaque jour, et elle "observe jusqu'à 200 billions de requêtes DNS dans une seule région AWS. Mithra détecte en moyenne 182 000 nouveaux domaines malveillants par jour."
L'entreprise a utilisé une combinaison d'IA, d'apprentissage automatique, d'algorithmes, de surveillance et d'autres outils, mais à mesure qu'elle grandit et évolue, elle a réalisé qu'il lui fallait une plateforme unique dédiée à la surveillance du système pour repérer les domaines malveillants et les éliminer autant que possible. C'est là qu'intervient Mithra.
L'IA joue bien sûr un grand rôle dans un système de cette envergure, et l'entreprise ne pourrait pas gérer une base de données graphique aussi volumineuse sans l'IA. "La réalité est que l'IA, dans ce cas particulier, ou dans de nombreux cas similaires, est exactement le type de technologie que vous voulez utiliser pour examiner de grandes quantités de données et identifier à travers ces données ce qui devrait nous intéresser", a déclaré Moses. "Et nous pouvons bien évidemment former l'IA pour rechercher les aberrations, pour rechercher les éléments qui sortent de la norme, ou ces éléments que nous avons précédemment identifiés comme malveillants."
Les modèles IA peuvent également aider les humains à prendre de meilleures décisions. "Allons-nous bloquer ce domaine ou non ? Voici une prépondérance des données qui ont été rassemblées à partir de Mithra, de Sonaris, et d'autres capteurs de menaces que nous avons, puis utiliser cette IA pour les regrouper en recommandations aux différents systèmes qui prennent les mesures de défense", a déclaré Moses.
L'IA générative a un rôle à jouer car elle permet aux analystes de menaces, qui traquent les menaces, d'interagir avec les données en langage clair et d'obtenir des réponses pour aider à mieux comprendre la situation. Auparavant, ils auraient dû exécuter des scripts, mais l'IA générative fournit un moyen plus rapide de voir ce qui se passe.
Parfois, il ne s'agit pas de fermer des domaines, ou de la sophistication de la technologie, mais simplement de pouvoir décrocher le téléphone et appeler un autre CISO pour savoir ce que son équipe observe. "Une grande partie de nos investissements vise à nous assurer que nous avons un réseau de CISO très viable afin de pouvoir décrocher le téléphone et appeler quelqu'un à 2 heures du matin sans que cela soit un appel à froid, même s'ils ne sont pas nos clients", a-t-il déclaré.
Mithra fonctionne sur les systèmes internes d'Amazon au lieu d'être un service que les clients paient directement.
Mise à jour : Cette histoire a été mise à jour pour clarifier quand Mithra a été lancé.
