Amazon zet een stap in geautomatiseerde beveiliging met de inzet van Autonomous Threat Analysis (ATA). Dit is een intern platform dat werkt met gespecialiseerde AI-agents die elkaar voortdurend uitdagen.
Dit schrijft de organisatie in een blog. Door de competitieve architectuur kan Amazon beveiligingsmaatregelen ontwikkelen en verfijnen in een tempo dat normaal gesproken weken in beslag neemt. De organisatie beweert dat het proces nu binnen enkele uren kan worden afgerond.
ATA werkt met samenwerkende en concurrerende agents die respectievelijk aanvallers en verdedigers simuleren. Aanvallende agents proberen technieken uit die overeenkomen met gedrag van echte dreigingsactoren. Verdedigende agents testen vervolgens of bestaande detectiesystemen reageren zoals bedoeld en zoeken autonoom naar verbeterde regels zodra iets door de mazen van het net glipt.
Alle experimenten vinden plaats in volledig geïsoleerde testomgevingen die Amazons productie-infrastructuur nabootsen zonder risico voor echte systemen of klantdata. Een belangrijk kenmerk is dat elk uitgevoerde techniek wordt geverifieerd op basis van echte systeemactiviteit. Agents moeten hun acties aantonen met concrete loggegevens. Daarmee wil Amazon voorkomen dat AI-modellen beweringen doen die niet stroken met de werkelijkheid.
Een case die Amazon zelf aanhaalt draait om Python-gebaseerde reverse shells, een techniek die in veel aanvallen terugkomt. De aanvallende agents wisten tientallen varianten van deze methode te genereren en uit te voeren, waarna de verdedigende agents de detectieregels aanscherpten. Het systeem produceerde uiteindelijk een regel die in tests foutloos bleek. Het proces leidde bovendien tot meerdere aanvullende inzichten voor nieuwe beveiligingsmaatregelen.
Geen onnauwkeurige of ongewenste conclusies
ATA bevat diverse beschermingsmechanismen om de inzet van AI in security gecontroleerd te laten verlopen. Tests draaien in tijdelijke omgevingen en zodra een aanvalstechniek slaagt wordt er onmiddellijk een detectieregel voor gegenereerd. Validatie vindt altijd plaats op basis van observeerbare systeemactiviteit, waardoor onnauwkeurige of ongewenste conclusies worden voorkomen. Voor implementatie in productie is menselijke goedkeuring verplicht, zodat toezicht en expertise behouden blijven.
Amazon benadrukt dat ATA in staat is om mislukkingen zelfstandig te analyseren en strategieën te verfijnen. Vaak zijn er slechts enkele iteraties nodig voordat een techniek correct wordt uitgevoerd of gedetecteerd. Dat maakt het hele proces aanzienlijk efficiënter. Waar handmatige analyses soms weken duren, brengt ATA de doorlooptijd terug tot ongeveer vier uur.
In complexere scenario’s kan het systeem zelfs volledige aanvalsketens automatiseren, variërend van verkenning tot laterale beweging. Daarbij heeft ATA al nieuwe detectiemogelijkheden ontdekt die anders waarschijnlijk pas veel later aan het licht waren gekomen.
De schaalbaarheid speelt hierin een grote rol. Het platform voert meerdere varianten van technieken gelijktijdig uit en kan detectietests doorgaans binnen enkele uren afronden. Dat is volgens Amazon essentieel nu de infrastructuur van het bedrijf steeds groter en ingewikkelder wordt.
Menselijke kennis blijft noodzakelijk
ATA vervangt menselijke expertise niet, maar vergroot de capaciteit van securityteams door het zware testwerk te automatiseren. Medewerkers kunnen zich daardoor richten op strategische risicoanalyse, terwijl de AI-agents routinewerk en scenarioverkenning voor hun rekening nemen.
Amazon ziet ATA als een cruciale factor om cybercriminelen voor te blijven, valse meldingen te verminderen en de weerbaarheid van zijn infrastructuur te vergroten. Met deze aanpak wil het bedrijf de kloof verkleinen tussen de snelheid van aanvallers en die van verdedigers, waarbij klanten beter beschermd moeten blijven tegen steeds geavanceerdere dreigingen.