Турбо-хакер внутри Amazon? Вот как работает новая ИИ-система ATA

В Amazon начали раскрывать детали внутренней системы Autonomous Threat Analysis, созданной для ускорения поиска уязвимостей и разработки защитных мер.

Компания столкнулась с ростом объёмов кода и усложнением атакующих техник, поэтому разработчики представили инструмент, который помогает своевременно выявлять слабые места и предлагать решения до того, как ими воспользуются злоумышленники. Первые эксперименты с системой прошли на хакатоне в августе 2024 года, а в последующие месяцы проект превратился в один из ключевых механизмов проактивной защиты.

Основой ATA стала архитектура из нескольких узкоспециализированных агентов, разделённых на две команды. Одна имитирует действия нарушителей и формирует новые варианты атакующих техник. Другая анализирует телеметрию и предлагает способы защиты. Такой подход повторяет процесс, который обычно выполняется людьми, но работает значительно быстрее и обеспечивает разнообразие сценариев, недоступное при ручном тестировании.

Все действия агентов проводятся в специально созданных средах, полностью повторяющих производственные системы Amazon. В них выполняются реальные команды, формируются подлинные журналы событий и телеметрия, а разработанные защитные меры сразу проходят автоматическую проверку.

Подход, основанный на проверяемых данных, позволил уменьшить число ложных срабатываний. Система фиксирует временные метки, отслеживает команды и требует наблюдаемого подтверждения каждой найденной техники и предложенной защиты. По оценке Amazon, это снижает вероятность некорректных выводов и упрощает контроль за результатами работы агентов.

Разработчики отмечают, что особенно заметные результаты ATA показала при анализе техник дистанционного управления через Python , где были выявлены новые потенциальные методы обратного подключения и одновременно предложены способы обнаружения таких попыток.

Несмотря на автономность ATA, окончательные решения принимают сотрудники Amazon. Система облегчает выполнение повторяющихся и рутинных задач и освобождает время для анализа сложных ситуаций. В компании рассчитывают расширить применение ATA и использовать её во время реальных инцидентов, где скорость выявления проблемы и применения защитных мер критична для сохранения устойчивости инфраструктуры.