Mejorando tu Seguridad en AWS con ML y AI - Speaker Deck

speakerdeck.com

Mejorando tu Seguridad en AWS con ML y AI

Las aplicaciones modernas son complejas, distribuidas, y cada nuevo servicio que agregas es también una nueva superficie de ataque potencial. A eso súmale el volumen brutal de logs, métricas y trazas que genera una plataforma en producción, y tienes la receta perfecta para que identificar la causa raíz de un incidente se convierta en una tarea que consume horas — o días — de personas con conocimiento muy especializado.

Las amenazas tampoco se quedan quietas. Suplantación de identidad, ransomware, fraudes, amenazas internas, accesos no autorizados... la lista es larga y la frecuencia con la que ocurren no para de crecer. El problema de la seguridad tradicional es que trabaja con reglas fijas y estáticas, y los atacantes hace mucho que aprendieron a moverse entre los huecos que esas reglas dejan.

¿Qué necesitamos realmente?

Más allá de detectar incidentes, necesitamos hacerlo rápido. Reducir el tiempo de detección, de triaging, de debugging. Necesitamos protección continua que se adapte a nuestra operación, que nos ayude a cumplir con marcos normativos, y que no nos despierte a las 3am por un falso positivo. En resumen: necesitamos que el sistema aprenda.

Y ahí es donde entran ML y AI.

Cómo funciona

El concepto es sencillo: un algoritmo aprende a reconocer patrones en datos históricos, y una vez entrenado, usa ese conocimiento para hacer predicciones sobre datos nuevos y disparar acciones en consecuencia. Nada de magia, pura estadística aplicada a escala. Lo interesante es cómo AWS ha integrado esto directamente en sus servicios de seguridad, sin que tengas que construir ni operar los modelos tú mismo.

Las aplicaciones concretas van desde detección de anomalías en tráfico de red — identificar un DDoS antes de que te rompa el día — hasta modelado de comportamiento para detectar actividad maliciosa o fraudulenta que ningún operador humano hubiera notado a tiempo.

Los servicios que importan

Amazon GuardDuty es el punto de entrada natural. Es un servicio administrado que usa ML para analizar de forma continua eventos de CloudTrail, VPC Flow Logs y DNS Logs. Lo que hace bien es identificar patrones: acceso inicial sospechoso, escalación de privilegios, reconocimiento, acciones defensivas del atacante para cubrir sus huellas. No tienes que configurar reglas; el modelo se encarga.

Amazon Detective entra cuando ya ocurrió algo y necesitas entender qué pasó. Usa aprendizaje automático para analizar los mismos logs y te da contexto: qué cuentas estuvieron involucradas, desde qué IPs, qué recursos tocaron, y desde dónde geográficamente. La diferencia entre tardar 2 horas o 2 días en contener un incidente muchas veces está en tener ese contexto disponible de inmediato.

CloudWatch tiene algo que mucha gente no usa: detección automática de anomalías basada en ML. Analiza el histórico de tus métricas, aprende el comportamiento esperado, y te permite definir ventanas de detección y umbrales de tolerancia adaptados a tu operación — por ejemplo, excluir el ruido durante una ventana de deployments.

Para cumplimiento normativo, Amazon Macie usa ML para descubrir y clasificar datos sensibles en S3: PII, datos financieros, credenciales expuestas.

AWS DevOps Guru apunta más hacia el análisis predictivo: monitoreo continuo con algoritmos de ML sobre tus métricas de aplicación, detectando comportamientos anómalos antes de que se conviertan en incidentes, y creando automáticamente OpsItems en SSM OpsCenter para que el equipo los atienda.

Finalmente, IAM Access Analyzer usa Automated Reasoning — no ML clásico, sino análisis formal — para revisar tus políticas de IAM e identificar configuraciones que podrían permitir acceso no autorizado. Es el tipo de análisis que un humano haría manualmente en una auditoría, automatizado y corriendo de forma continua.

Lo que hay que tener claro

Ninguno de estos servicios es plug-and-play en el sentido de que funciona perfecto desde el día uno. Hay un período de aprendizaje — entre 15 minutos y 48 horas dependiendo del servicio — y cada ambiente es único, así que la configuración importa. El punto más importante, y el que más confunde a los equipos que recién empiezan: anómalo no es lo mismo que vulnerable, roto o malicioso. Un comportamiento fuera de lo normal es una señal para investigar, no necesariamente una alarma de incendio.

La combinación de GuardDuty, Detective, Macie, CloudWatch Anomaly Detection y DevOps Guru crea una capa de seguridad inteligente que detecta lo que las reglas estáticas no ven, responde más rápido de lo que cualquier equipo humano podría, y se adapta al comportamiento real de tu plataforma. ML y AI ya son parte central de la oferta de seguridad de AWS — la pregunta no es si usarlos, sino cuáles activar primero.