1 مقدمه
مراکز عملیات امنیتی (SOCs) به طور فزایندهای از پلتفرمهای امنیتی یکپارچه، خودکار و پاسخگو (SOAR) برای مدیریت حوادث امنیت سایبری استفاده میکنند. این پلتفرمها ابزارهای امنیتی متنوعی را از طریق رابطهای برنامهنویسی (API) یکپارچه میکنند، اما انتخاب دستی API به دلیل ناهمگونی دادهها، تغییرات معنایی و حجم عظیم APIهای موجود چالشهای قابل توجهی ایجاد میکند.
APIRO این چالشها را از طریق یک چارچوب مبتنی بر یادگیری خودکار حل میکند که مرتبطترین رابطهای برنامهنویسی ابزارهای امنیتی را برای وظایف خاص پاسخ به حادثه پیشنهاد میدهد. این چارچوب دقت ۹۱.۹٪ در رتبه اول را نشان میدهد که به طور قابل توجهی از روشهای موجود بهتر عمل میکند.
۹۱.۹٪
دقت رتبه اول
۲۶.۹۳٪
بهبود نسبت به پایه
۳
ابزارهای امنیتی ارزیابی شده
۳۶
تکنیکهای غنیسازی
2 معماری چارچوب APIRO
چارچوب APIRO شامل سه مؤلفه اصلی است که برای مقابله با چالشهای پیشنهاد رابطهای برنامهنویسی ابزارهای امنیتی در محیطهای SOAR طراحی شدهاند.
2.1 ماژول غنیسازی داده
برای کاهش کمبود داده، APIRO از ۳۶ تکنیک غنیسازی داده از جمله جایگزینی مترادف، ترجمه معکوس و جاسازی متنی استفاده میکند. این ماژول با تولید دادههای آموزشی مصنوعی در حالی که معانی معنایی را حفظ میکند، توصیفهای API را غنی میکند.
2.2 مدل جاسازی API
APIRO از یک مدل جاسازی کلمات تخصصی آموزش دیده بر روی پیکرههای امنیتی استفاده میکند. این مدل روابط معنایی بین عملکردهای API را با استفاده از هدف جاسازی زیر ثبت میکند:
$\min_{\theta} \sum_{(w,c) \in D} -\log \sigma(v_c \cdot v_w) - \sum_{(w,c') \in D'} \log \sigma(-v_{c'} \cdot v_w)$
که در آن $v_w$ و $v_c$ به ترتیب نشاندهنده بردارهای کلمه و متن هستند، $D$ جفتهای آموزشی مثبت را نشان میدهد و $D'$ نمونههای منفی را نشان میدهد.
2.3 طبقهبندی CNN
یک شبکه عصبی کانولوشنی توصیفهای API جاسازی شده را پردازش میکند تا ۳ API مرتبط برتر را برای یک وظیفه مشخص پیشبینی کند. معماری CNN شامل اندازههای فیلتر متعدد (۲،۳،۴ گرم) برای ثبت الگوهای n-gram در مستندات API است.
3 نتایج آزمایشی
APIRO با استفاده از سه ابزار امنیتی با مستندات API گسترده ارزیابی شد: پلتفرم اشتراکگذاری اطلاعات بدافزار (MISP)، Limacharlie EDR و پلتفرم Phantom SOAR.
3.1 معیارهای عملکرد
چارچوب عملکرد قابل توجهی در معیارهای ارزیابی متعدد به دست آورد:
- دقت رتبه اول: ۹۱.۹٪
- دقت رتبه دوم: بهبود ۲۳.۰۳٪ نسبت به پایه
- دقت رتبه سوم: بهبود ۲۰.۸۷٪ نسبت به پایه
- رتبه متقابل میانگین (MRR): بهبود ۲۳.۷٪
3.2 مقایسه با روشهای پایه
APIRO به طور قابل توجهی از روشهای پایه پیشرفته در تمام معیارها بهتر عمل کرد. بهبود عملکرد، اثربخشی رویکرد غنیسازی داده و جاسازی تخصصی را در مدیریت تغییرات معنایی در مستندات API امنیتی نشان میدهد.
نمودار مقایسه عملکرد
نتایج آزمایشی معیارهای دقت APIRO را در مقایسه با رویکردهای پایه نشان میدهد. تجسم نمودار میلهای برتری مداوم در معیارهای دقت رتبه اول، دوم و سوم را نشان میدهد، با بیشترین بهبود در دقت رتبه اول (بهبود ۲۶.۹۳٪).
4 تحلیل فنی
بینش اصلی
APIRO اساساً نحوه تعامل تیمهای SOC با رابطهای برنامهنویسی ابزارهای امنیتی را با جایگزینی فرآیندهای دستی و خطاپذیر با پیشنهادهای هوشمند و مبتنی بر داده متحول میکند. پیشرفت واقعی چارچوب در رویکرد عملی آن به واقعیت آشفته مستندات امنیتی نهفته است - سعی نمیکند این آشفتگی را استاندارد کند، بلکه یاد میگیرد به طور مؤثر در آن حرکت کند.
جریان منطقی
معماری از یک خط لوله سه مرحلهای پیچیده پیروی میکند: اول، با استفاده از ۳۶ تکنیک دادههای آموزشی محدود را به شدت غنی میکند (شبیه به استراتژیهای غنیسازی داده CycleGAN)؛ دوم، جاسازیهای خاص دامنه میسازد که تفاوتهای اصطلاحات امنیتی را درک میکنند؛ سوم، از فیلترهای CNN چندمقیاس برای ثبت الگوهای معنایی محلی و جهانی استفاده میکند. این فقط یک برنامه دیگر ML نیست - یک سیستم ساخته شده برای هدف خاص در یک دامنه با ریسک بالا است.
نقاط قوت و ضعف
دقت ۹۱.۹٪ در رتبه اول چشمگیر است، اما من در مورد تعمیم در دنیای واقعی فراتر از سه ابزار آزمایش شده تردید دارم. وابستگی به غنیسازی داده گسترده نشاندهنده مسائل اساسی کمبود داده است که میتواند مقیاسپذیری استقرار را محدود کند. با این حال، بهبود ۲۶.۹۳٪ نسبت به روشهای پایه نوآوری فنی واقعی را نشان میدهد، نه فقط تنظیمات تدریجی.
بینشهای قابل اجرا
تأمینکنندگان امنیتی باید بلافاصله بررسی یکپارچهسازی عملکردهای مشابه APIRO را در پلتفرمهای SOAR خود آغاز کنند. این چارچوب یک نقشه راه واضح برای رسیدگی به گلوگاه یکپارچهسازی API که مراکز عملیات امنیتی مدرن را آزار میدهد ارائه میدهد. سازمانها باید بر تأمینکنندگان SOAR فشار بیاورند تا این رویکردهای مبتنی بر هوش مصنوعی را به جای ادامه روشهای یکپارچهسازی دستی و شکننده اتخاذ کنند.
مثال چارچوب تحلیل
یک وظیفه پاسخ به حادثه را در نظر بگیرید: "بررسی ترافیک شبکه مشکوک از آدرس IP 192.168.1.100"
گردش کار پردازش APIRO:
- پیشپردازش و توکنسازی توصیف وظیفه
- جستجوی جاسازی با استفاده از بردارهای کلمات خاص امنیتی
- استخراج ویژگی CNN چندمقیاس
- امتیازدهی شباهت در برابر رابطهای برنامهنویسی ابزارهای امنیتی موجود
- پیشنهادهای ۳ API برتر با امتیازات اطمینان
خروجی: [MISP: search_events, Limacharlie: get_connections, Phantom: ip_reputation_check]
5 کاربردهای آینده
روششناسی APIRO پتانسیل قابل توجهی فراتر از پیشنهاد ابزارهای امنیتی دارد:
- کشف API سازمانی: گسترش به اکوسیستمهای API سازمانی عمومی برای کشف و یکپارچهسازی بهتر خدمات
- خودکارسازی امنیتی چندپلتفرمی: فعالسازی گردش کارهای امنیتی خودکار در سراسر ارائهدهندگان ابری و تأمینکنندگان امنیتی
- استانداردسازی API: اطلاعرسانی توسعه مشخصات استاندارد API امنیتی
- معماری عدم اعتماد صفر: پشتیبانی از اجرای سیاست امنیتی پویا از طریق انتخاب هوشمند API
جهتهای تحقیقاتی آینده شامل ترکیب یادگیری انتقال برای ابزارهای امنیتی جدید، توسعه قابلیتهای یادگیری کمنمونه و یکپارچهسازی هوش مصنوعی قابل توضیح برای شفافیت پیشنهاد است.
6 مراجع
- Zhu, J.Y., et al. "Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks." ICCV 2017.
- MISP Project. "Malware Information Sharing Platform." https://www.misp-project.org/
- Limacharlie. "Endpoint Detection and Response." https://limacharlie.io/
- Saxe, J., et al. "Deep Neural Network Based Malware Detection Using Two Dimensional Binary Program Features." IEEE S&P 2015.
- MITRE ATT&CK. "Enterprise Matrix." https://attack.mitre.org/
- Phantom. "Security Orchestration, Automation and Response Platform." https://www.phantom.us/
- Rapid7. "SOAR Platform for Threat Hunting." Technical Documentation, 2021.