La ciberseguridad es un área de rápido crecimiento en la que el conocimiento y la mitigación de amenazas son sumamente necesarios. En este sentido, el gráfico de ataques es una herramienta a la que recurren principalmente los analistas de seguridad para trazar todos los posibles caminos que pueden seguir los atacantes para explotar las vulnerabilidades de un sistema. El desafío de gestionar las vulnerabilidades y las amenazas ha aumentado con la mayor complejidad de los sistemas modernos. Los métodos tradicionales de generación de gráficos de ataques, la mayoría de los cuales son manuales y dependen en gran medida del conocimiento de expertos, necesitan una revisión. Dada la creciente complejidad de dichos sistemas y la dinámica de las amenazas, existe una demanda natural de enfoques más eficientes y adaptativos en el modelado de amenazas y la generación de gráficos de ataques.
Uno de los principales problemas de la ciberseguridad actual es que el panorama de vulnerabilidades cambia constantemente. Se descubren nuevas vulnerabilidades continuamente y los atacantes desarrollan nuevos métodos de explotación. Las reglas estáticas, la heurística y la curación manual limitan los métodos clásicos de generación de gráficos de ataque. Estos enfoques requieren mucho tiempo y, por lo general, no pueden proporcionar el alcance de cobertura necesario. Esta brecha expone los sistemas a amenazas emergentes que antes no podían ser capturadas por esos modelos estáticos. Esto, a su vez, requeriría un enfoque mucho más dinámico para mantenerse al día con el entorno de amenazas que cambia rápidamente.
En la actualidad, se utilizan algoritmos computacionales y de curación manual para crear gráficos de ataque. Las definiciones formales y los algoritmos de verificación de modelos forman la base de las técnicas actuales para crear gráficos de ataque. Aun así, estas técnicas normalmente son específicas de un dominio y no son flexibles a la hora de introducir nuevos tipos de ataques. Por ejemplo, los métodos convencionales implican una gran cantidad de entrada manual de información sobre la vulnerabilidad; esto podría ser mejor, teniendo en cuenta que se encuentran nuevas vulnerabilidades casi a diario. A menudo, estos enfoques solo utilizan definiciones formales estáticas de un ataque, que no se pueden aplicar dinámicamente a nuevos vectores de ataque. Todo esto pone de manifiesto la necesidad de un nuevo enfoque que pueda adaptarse dinámicamente a la nueva información que se recibe.
Un equipo de investigación de la Universidad de California Irvine y Cisco Research ha propuesto otra línea de trabajo en un nuevo enfoque hacia la generación automatizada de gráficos de ataque utilizando LLM aumentados con retriever, a saber: Bola de cristalaprovechando GPT-4. Este enfoque automatiza el encadenamiento de CVE según sus condiciones previas y posteriores, lo que respalda la dinamicidad y la escalabilidad en la generación de gráficos de ataque. Está diseñado para procesar grandes volúmenes de datos estructurados y no estructurados y se adapta a los entornos de ciberseguridad modernos. El equipo de investigación ha trabajado particularmente en la integración de LLM con un modelo de recuperación que mejora la precisión y la relevancia de los gráficos de ataque generados.
La tecnología subyacente a CrystalBall es sofisticada y eficaz. Aplica un método de generación aumentado por un recuperador, denominado RAG, para recuperar los CVE más relevantes relativos a un conjunto dado de información del sistema suministrado por el usuario frente a un gran conjunto de datos. Esta información se almacenará en una base de datos relacional que admite la búsqueda semántica, lo que permite al sistema encadenar vulnerabilidades con un alto grado de precisión. Se aplica como una caja negra al sistema basado en LLM, donde este último genera gráficos de ataque. Este enfoque garantiza la exhaustividad y la relevancia de los gráficos generados para el contexto en el que se aplican con fines de seguridad.
El rendimiento de CrystalBall se ha probado y comparado rigurosamente con otros métodos. Se ha demostrado que la investigación sobre los LLM, especialmente GPT-4, aumentó la eficiencia y la precisión de la generación de gráficos de ataque. Por ejemplo, procesó informes de amenazas y luego generó gráficos de ataque con un alto grado de precisión, cubriendo el 95% de las vulnerabilidades relevantes y encadenándolas en rutas de ataque coherentes. En comparación con otros modelos, GPT-4 tuvo el mejor rendimiento en cuanto a detalle y encadenamiento de vulnerabilidades entre dispositivos, generando los gráficos más contextualmente relevantes y precisos. Esto resuelve una deficiencia importante de las técnicas anteriores que a menudo pasaban por alto vínculos contextuales importantes entre vulnerabilidades.
Cuando se utilizan modelos de lenguaje grandes para la generación de gráficos de ataques en materia de ciberseguridad, estos resultados son muy importantes. Por otro lado, CrystalBall mejora la eficiencia de la generación de gráficos de ataques y la precisión y relevancia en tiempo real de los gráficos generados. El punto importante es que, si bien los modelos de lenguaje grandes funcionan bastante bien en la mayoría de los escenarios, este enfoque aún tiene limitaciones. Al carecer de experiencia específica en el dominio, los modelos de lenguaje grandes a veces generan gráficos que pueden necesitar un refinamiento o validación adicional por parte de un experto humano. Además, existe una preocupación ética al desarrollar modelos de aprendizaje automático para tareas de ciberseguridad debido a la posibilidad de un uso indebido.
En conclusión, este estudio concluye que la investigación proporciona una solución sólida para los desafíos de la ciberseguridad moderna. Además, el sistema CrystalBall permite el poder de los grandes modelos de lenguaje como GPT-4 al proporcionar un método dinámico, escalable y altamente preciso para generar los gráficos de ataque. Es uno de los enfoques para superar las deficiencias de los métodos anteriores en esta área de investigación y mantenerse al día con el rápido ritmo de cambio en el panorama de vulnerabilidades y amenazas. Sin embargo, muchos desafíos siguen abiertos, pero los beneficios potenciales de esta línea de trabajo la convierten en una dirección prometedora para futuras investigaciones y aplicaciones en ciberseguridad.
Echa un vistazo a la Papel. Todo el crédito por esta investigación corresponde a los investigadores de este proyecto. Además, no olvides seguirnos en Gorjeo y únete a nuestro Canal de Telegram y LinkedIn Gr¡Arriba!. Si te gusta nuestro trabajo, te encantará nuestro hoja informativa..
No olvides unirte a nuestro Subreddit de más de 48 000 millones de usuarios
Encuentra lo próximo Seminarios web sobre IA aquí
Asif Razzaq es el director ejecutivo de Marktechpost Media Inc. Como ingeniero y emprendedor visionario, Asif está comprometido con aprovechar el potencial de la inteligencia artificial para el bien social. Su iniciativa más reciente es el lanzamiento de una plataforma de medios de inteligencia artificial, Marktechpost, que se destaca por su cobertura en profundidad de noticias sobre aprendizaje automático y aprendizaje profundo que es técnicamente sólida y fácilmente comprensible para una amplia audiencia. La plataforma cuenta con más de 2 millones de visitas mensuales, lo que ilustra su popularidad entre el público.
