Bei einem Unternehmen von der Größe Amazons sind viele Betrüger hinter ihm und seinen Kunden her, was die Verteidigung des Netzwerks zu einer Mammutaufgabe macht. Im Laufe der Jahre hat Amazon eine Reihe von Strategien entwickelt, von maschinellem Lernen und Überwachungstools bis hin zu altmodischen Telefonanrufen, um Risiken für sein Netzwerk zu identifizieren und zu reduzieren.
Das Unternehmen kündigte am Montag eine Dachplattform namens Mithra an, die für die Skalierung von Amazon entwickelt wurde. Die wichtigste Technologie, die der Lösung zugrunde liegt, ist laut CJ Moses, Amazons Chief Information Security Officer (CISO), eine riesige Graphdatenbank mit 3,5 Milliarden Knoten und 48 Milliarden Kanten.
Moses sagt in einfachen Worten, dass Mithra im Grunde ein großer Trichter ist. „Wir müssen von großen Datenmengen zu sehr kleinen Datenmengen gelangen. Je weiter man in diesem Trichter vordringt, desto mehr Menschen können wir einbinden, um die endgültigen Entscheidungen darüber zu treffen, was getan werden muss“, sagte Moses gegenüber Tech.
In manchen Fällen, in denen die Software eindeutige Signale für eine schlechte Domain hat, müssen Menschen nicht einmal in die Entscheidungsfindung einbezogen werden. Bei Amazons Größe ist es wichtig, Menschen möglichst aus dem Spiel zu nehmen. „Wenn wir an einen Punkt gelangen, an dem wir mit absoluter Sicherheit davon ausgehen können, dass eine Domain schlecht ist, können wir diese Daten sehr schnell direkt in die Systeme übertragen, die unsere Umgebungen schützen“, sagte Moses.
Dies könnte die Web Application Firewall (WAF), Amazon GuardDuty, das Bedrohungserkennungssystem des Unternehmens oder sogar die Weiterleitung der betreffenden Domäne an das AWS-Sicherheitsserviceteam zur weiteren Überprüfung bei Bedarf betreffen. Moses sagt, wenn Sie Mithra mit kombinieren Sonarisdie Netzwerkbeobachtungsplattform des Unternehmens, bietet ein „ziemlich gutes Verteidigungsnetz um unsere AWS- und Amazon-Umgebungen“.
Die Größenordnung von Amazon ist einzigartig. Laut Moses bewältigt das Unternehmen täglich ein Viertel des gesamten Internetverkehrs und „beobachtet allein in einer einzigen AWS-Region bis zu 200 Billionen DNS-Anfragen. Mithra erkennt täglich durchschnittlich 182.000 neue bösartige Domänen.“
Das Unternehmen verwendet eine Kombination aus KI, ML, Algorithmen, Überwachung und anderen Tools. Mit zunehmendem Wachstum und Umfang wurde ihm jedoch klar, dass es eine einzige Plattform benötigt, die das System auf bösartige Domänen überwacht und diese nach Möglichkeit auslöscht. Hier kommt Mithra ins Spiel.
KI spielt in einem so großen System natürlich eine große Rolle, und das Unternehmen wäre ohne KI nicht in der Lage, mit einer so großen Graphdatenbank umzugehen. „Die Realität ist, dass KI in diesem speziellen Fall oder in vielen Fällen wie diesem genau die Art von Technologie ist, die Sie verwenden möchten, um große Datenmengen zu untersuchen und in diesen Daten die Dinge zu identifizieren, die für uns interessant sein sollten“, sagte Moses. „Und wir können die KI natürlich darauf trainieren, nach Abweichungen zu suchen, nach Dingen, die außerhalb der Norm liegen, oder nach Dingen, die wir zuvor als bösartig angesehen haben.“
Die KI-Modelle können auch Menschen dabei helfen, bessere Entscheidungen zu treffen. „Werden wir diese Domäne blockieren oder nicht? Hier ist ein Großteil der Daten, die von Mithra, Sonaris und anderen Bedrohungssensoren, die wir haben, zusammengetragen wurden. Diese KI wird dann verwendet, um sie zu Empfehlungen für die verschiedenen Systeme zusammenzufassen, die die Abwehrmaßnahmen ergreifen“, sagte Moses.
Generative KI kann hier eine Rolle spielen, da sie es den Bedrohungsanalysten, die nach Bedrohungen suchen, ermöglicht, in einfacher Sprache mit den Daten zu interagieren und Antworten zu erhalten, die ihnen helfen, die Situation besser zu verstehen. Früher hätten sie dazu Skripte ausführen müssen, aber generative KI bietet eine schnellere Möglichkeit, zu erkennen, was passiert.
Manchmal geht es nicht darum, Domänen zu schließen, oder wie ausgefeilt die Technologie ist, sondern einfach darum, zum Telefonhörer greifen und einen CISO-Kollegen anrufen zu können, um ihm zu erzählen, was sein Team sieht. „Ein Teil unserer größten Investitionen besteht darin, sicherzustellen, dass wir ein sehr leistungsfähiges CISO-Netzwerk haben, damit wir um 2 Uhr morgens zum Telefonhörer greifen und jemanden anrufen können, ohne dass es ein Kaltakquise-Anruf ist, selbst wenn es sich nicht um unsere Kunden handelt“, sagte er.
Mithra wurde am Montag offiziell eingeführt und läuft auf internen Systemen innerhalb von Amazon. Es handelt sich nicht um einen Dienst, für den die Kunden direkt bezahlen.