Zamislite da ste novi upravnik velike stambene zgrade i neko vam je ukrao jedan od ključeva—ali niste sigurni koji. Da li je to bio stan na prvom spratu? Poštanska soba? Možda je to glavni ključ za sve jedinice.
Sve brave su ranjive, koliko znate, i moraćete da promenite svaku bravu da biste bili potpuno bezbedni.
Ali ako biste tačno znali koji ključ je nestao, mogli biste da ciljate svoje napore, menjajući samo relevantnu bravu i eliminišući pretnju nakon toga.
Pomnožite taj problem hiljadama puta i shvatićete sa čime se bore sajber branioci. Postoji više od 213.800 dostupnih poznatih „ključeva“ — nezvaničnih ulaznih tačaka u računarske sisteme, poznatijih kao ranjivosti ili greške — i oni su već u rukama kriminalaca. Verovatno ima mnogo više onih koji nisu poznati. Kako se sve pretnje i napadi mogu pratiti, odrediti prioritet i sprečiti?
To je nemoguće za bilo koju osobu ili tim. Dok kompjuterski analitičari dele kontakte tako što unose informacije u više baza podataka, oni nemaju mapu kako bi protivnici mogli da iskoriste većinu tih grešaka da izazovu haos.
Sada se tim naučnika iz Nacionalne laboratorije Pacifika severozapad odeljenja za energetiku, Univerziteta Purdue, Univerziteta Karnegi Melon i Državnog univerziteta Bojza okrenuo veštačkoj inteligenciji kako bi pomogao u rešavanju problema. Istraživači su spojili tri velike baze podataka o ranjivosti računara, slabostima i verovatnim obrascima napada. Njihov rad je objavljen kao deo IEEE međunarodnog simpozijuma o tehnologijama za domovinsku bezbednost (HST) 2022.
Model zasnovan na veštačkoj inteligenciji automatski povezuje ranjivosti sa određenim linijama napada koje bi protivnici mogli da iskoriste za kompromitovanje računarskih sistema. Rad treba da pomogne braniocima da češće i brže uoče i spreče napade. Rad je otvorenog koda, a deo je sada dostupan na GitHub-u. Tim će uskoro objaviti ostatak koda.
„Sajber branioci su preplavljeni informacijama i redovima koda. Ono što im je potrebno je tumačenje i podrška za određivanje prioriteta. Gde smo mi ranjivi? Koje akcije možemo preduzeti?“ rekao je Mahantesh Halappanavar, glavni kompjuterski naučnik u PNNL-u koji je vodio sveukupne napore.
„Ako ste sajber branilac, možda imate posla sa stotinama ranjivosti dnevno. Morate znati kako se one mogu iskoristiti i šta treba da uradite da biste ublažili te pretnje. To je ključni deo koji nedostaje“, dodao je Halapanavar. „Želite da znate implikacije greške, kako se ona može iskoristiti i kako zaustaviti tu pretnju.
Novi model veštačke inteligencije koristi obradu prirodnog jezika i nadgledano učenje da premosti informacije u tri odvojene baze podataka o sajber bezbednosti:
Iako sve tri baze podataka sadrže informacije ključne za sajber branioce, bilo je nekoliko pokušaja da se sve tri spoje zajedno kako bi korisnik mogao brzo otkriti i razumeti moguće pretnje i njihovo poreklo, a zatim oslabiti ili sprečiti ove pretnje i napade.
„Ako možemo da klasifikujemo ranjivosti u opšte kategorije i znamo tačno kako bi napad mogao da se odvija, mogli bismo da neutrališemo pretnje mnogo efikasnije“, rekao je Halapanavar. „Što više napredujete u klasifikaciji grešaka, više pretnji možete zaustaviti jednom akcijom. Idealan cilj je sprečiti sve moguće eksploatacije.“
Rad je dobio nagradu za najbolji rad na IEEE međunarodnom simpozijumu o tehnologijama za domovinsku bezbednost u novembru.
U prethodnom radu, tim je koristio AI da poveže dva resursa, ranjivosti i slabosti. Taj rad, koji je rezultirao modelom V2V-BERT, doneo je timu — Das, Pothen, Halappanavar, Serra i Ehab Al-Shaer sa Univerziteta Carnegie Mellon — nagradu za najbolji rad na IEEE međunarodnoj konferenciji o nauci o podacima i naprednoj analitici 2021.
Novi model, VVC-MAP, proširuje projekat na treću kategoriju, akcije napada.
„Postoje hiljade i hiljade grešaka ili ranjivosti, a nove se stvaraju i otkrivaju svakog dana“, rekao je Das, student doktorskih studija na Purdue-u koji je vodio razvoj rada od svog stažiranja u PNNL-u 2019. „I više Dolaze. Moramo da razvijemo načine da ostanemo ispred ovih ranjivosti, ne samo onih koje su poznate već i onih koje još nisu otkrivene.“
Model tima automatski povezuje ranjivosti sa odgovarajućim slabostima sa tačnošću do 87 procenata i povezuje slabosti sa odgovarajućim obrascima napada sa tačnošću do 80 procenata. Ti brojevi su mnogo bolji nego što pružaju današnji alati, ali naučnici upozoravaju da njihove nove metode moraju biti testirane šire.
Jedna prepreka je nedostatak označenih podataka za obuku. Na primer, trenutno je vrlo malo ranjivosti — manje od 1% — povezano sa specifičnim napadima. To nije puno podataka dostupnih za obuku.
Da bi prevazišao nedostatak podataka i izvršio posao, tim je fino podesio unapred obučene modele prirodnog jezika, koristeći i automatski koder (BERT) i model sekvence u sekvencu (T5). Prvi pristup je koristio jezički model da poveže CVE sa CVE, a zatim CVE sa CAPEC kroz pristup predviđanja binarne veze. Drugi pristup je koristio tehnike od sekvence do sekvence za prevođenje CVE u CAPEC sa intuitivnim upitima za rangiranje asocijacija. Pristupi su dali veoma slične rezultate, koje je zatim potvrdio stručnjak za sajber bezbednost u timu.
„Stavljamo ovo tamo da drugi testiraju, da prođu kroz ranjivosti i da se uvere da ih model na odgovarajući način odloži“, rekao je Halapanavar. „Zaista se nadamo da stručnjaci za sajber bezbednost mogu staviti ovu platformu otvorenog koda na test.“
