APIRO: Framework per la Raccomandazione Automatica di API di Strumenti di Sicurezza per Piattaforme SOAR

1 Introduzione

I Centri Operativi di Sicurezza (SOC) adottano sempre più piattaforme di Security Orchestration, Automation and Response (SOAR) per gestire gli incidenti di cybersecurity. Queste piattaforme integrano vari strumenti di sicurezza tramite API, ma la selezione manuale delle API presenta sfide significative a causa dell'eterogeneità dei dati, delle variazioni semantiche e dell'enorme volume di API disponibili.

APIRO affronta queste sfide attraverso un framework automatico basato su apprendimento che raccomanda le API di strumenti di sicurezza più rilevanti per specifici task di risposta agli incidenti. Il framework dimostra una precisione Top-1 del 91,9%, superando significativamente gli approcci esistenti.

91,9%

Precisione Top-1

26,93%

Miglioramento rispetto al Baseline

3

Strumenti di Sicurezza Valutati

36

Tecniche di Aumentazione

2 Architettura del Framework APIRO

Il framework APIRO consiste di tre componenti principali progettate per gestire le sfide della raccomandazione di API di strumenti di sicurezza in ambienti SOAR.

2.1 Modulo di Aumentazione dei Dati

Per mitigare la scarsità di dati, APIRO impiega 36 tecniche di aumentazione dei dati inclusa la sostituzione di sinonimi, la retro-traduzione e l'embedding contestuale. Questo modulo arricchisce le descrizioni delle API generando dati di addestramento sintetici preservando il significato semantico.

2.2 Modello di Embedding per API

APIRO utilizza un modello specializzato di word embedding addestrato su corpora specifici per la sicurezza. Il modello cattura le relazioni semantiche tra le funzionalità delle API utilizzando il seguente obiettivo di embedding:

$\min_{\theta} \sum_{(w,c) \in D} -\log \sigma(v_c \cdot v_w) - \sum_{(w,c') \in D'} \log \sigma(-v_{c'} \cdot v_w)$

dove $v_w$ e $v_c$ rappresentano rispettivamente i vettori di parola e contesto, $D$ denota le coppie di addestramento positive e $D'$ rappresenta i campioni negativi.

2.3 Classificazione CNN

Una Rete Neurale Convoluzionale processa le descrizioni delle API incorporate per predire le prime 3 API rilevanti per un determinato task. L'architettura CNN include multiple dimensioni di filtri (2,3,4 grammi) per catturare pattern n-gram nella documentazione delle API.

3 Risultati Sperimentali

APIRO è stato valutato utilizzando tre strumenti di sicurezza con ampia documentazione API: Malware Information Sharing Platform (MISP), Limacharlie EDR e la piattaforma Phantom SOAR.

3.1 Metriche di Prestazione

Il framework ha raggiunto prestazioni notevoli su multiple metriche di valutazione:

Precisione Top-1: 91,9%
Precisione Top-2: Migliorata del 23,03% rispetto al baseline
Precisione Top-3: Migliorata del 20,87% rispetto al baseline
Mean Reciprocal Rank (MRR): Miglioramento del 23,7%

3.2 Confronto con i Baseline

APIRO ha superato significativamente i metodi baseline state-of-the-art su tutte le metriche. Il miglioramento delle prestazioni dimostra l'efficacia dell'approccio di aumentazione dei dati e dell'embedding specializzato nel gestire le variazioni semantiche nella documentazione delle API di sicurezza.

Grafico di Confronto delle Prestazioni

I risultati sperimentali mostrano le metriche di precisione di APIRO confrontate con gli approcci baseline. La visualizzazione a grafico a barre dimostra una superiorità consistente attraverso le misure di precisione Top-1, Top-2 e Top-3, con il miglioramento più significativo nella precisione Top-1 (miglioramento del 26,93%).

4 Analisi Tecnica

Intuizione Principale

APIRO trasforma fondamentalmente il modo in cui i team SOC interagiscono con le API degli strumenti di sicurezza sostituendo processi manuali e soggetti a errori con raccomandazioni intelligenti e basate sui dati. La vera svolta del framework risiede nel suo approccio pragmatico alla realtà disordinata della documentazione di sicurezza - non cerca di standardizzare il caos ma impara a navigarlo efficacemente.

Flusso Logico

L'architettura segue una pipeline sofisticata a tre stadi: primo, aumenta aggressivamente i dati di addestramento limitati attraverso 36 tecniche (che ricordano le strategie di aumentazione dati di CycleGAN); secondo, costruisce embedding specifici del dominio che comprendono le sfumature della terminologia di sicurezza; terzo, impiega filtri CNN multi-scala per catturare pattern semantici sia locali che globali. Questa non è solo un'altra applicazione di ML - è un sistema costruito appositamente per un dominio specifico e ad alto rischio.

Punti di Forza e Debolezze

La precisione Top-1 del 91,9% è impressionante, ma sono scettico riguardo alla generalizzazione nel mondo reale oltre i tre strumenti testati. La dipendenza da un'estesa aumentazione dei dati suggerisce problemi di scarsità di dati sottostanti che potrebbero limitare la scalabilità del deployment. Tuttavia, il miglioramento del 26,93% rispetto ai baseline dimostra una genuina innovazione tecnica, non solo piccoli ritocchi incrementali.

Intuizioni Azionabili

I vendor di sicurezza dovrebbero esplorare immediatamente l'integrazione di funzionalità simili ad APIRO nelle loro piattaforme SOAR. Il framework fornisce una roadmap chiara per affrontare il collo di bottiglia dell'integrazione API che affligge i SOC moderni. Le organizzazioni dovrebbero fare pressione sui vendor SOAR per adottare questi approcci guidati dall'IA piuttosto che continuare con metodi di integrazione manuali e fragili.

Esempio di Framework di Analisi

Considera un task di risposta agli incidenti: "Investiga il traffico di rete sospetto dall'indirizzo IP 192.168.1.100"

Workflow di elaborazione APIRO:

Preprocessing e tokenizzazione della descrizione del task
Ricerca di embedding utilizzando vettori di parole specifici per la sicurezza
Estrazione di feature CNN multi-scala
Calcolo della similarità rispetto alle API disponibili degli strumenti di sicurezza
Raccomandazioni delle prime 3 API con punteggi di confidenza

Output: [MISP: search_events, Limacharlie: get_connections, Phantom: ip_reputation_check]

5 Applicazioni Future

La metodologia di APIRO ha un potenziale significativo oltre la raccomandazione di strumenti di sicurezza:

Scoperta di API Aziendali: Estensione agli ecosistemi API aziendali generali per una migliore scoperta e integrazione dei servizi
Automazione della Sicurezza Cross-Platform: Abilitazione di workflow di sicurezza automatizzati tra provider cloud e vendor di sicurezza
Standardizzazione API: Informare lo sviluppo di specifiche API di sicurezza standardizzate
Architettura Zero-Trust: Supporto dell'applicazione dinamica delle policy di sicurezza attraverso la selezione intelligente di API

Le direzioni di ricerca future includono l'incorporazione del transfer learning per nuovi strumenti di sicurezza, lo sviluppo di capacità di few-shot learning e l'integrazione di AI spiegabile per la trasparenza delle raccomandazioni.

6 Riferimenti

Zhu, J.Y., et al. "Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks." ICCV 2017.
MISP Project. "Malware Information Sharing Platform." https://www.misp-project.org/
Limacharlie. "Endpoint Detection and Response." https://limacharlie.io/
Saxe, J., et al. "Deep Neural Network Based Malware Detection Using Two Dimensional Binary Program Features." IEEE S&P 2015.
MITRE ATT&CK. "Enterprise Matrix." https://attack.mitre.org/
Phantom. "Security Orchestration, Automation and Response Platform." https://www.phantom.us/
Rapid7. "SOAR Platform for Threat Hunting." Documentazione Tecnica, 2021.