Dil Seçin

APIRO: SOAR Platformları için Otomatik Güvenlik Aracı API Öneri Çerçevesi

APIRO, SOAR platformlarında veri heterojenliği ve anlamsal varyasyon zorluklarını %91,9 Top-1 Doğruluk ile çözen, öğrenme tabanlı otomatik güvenlik aracı API öneri çerçevesidir.
apismarket.org | PDF Size: 1.9 MB
Değerlendirme: 4.5/5
Değerlendirmeniz
Bu belgeyi zaten değerlendirdiniz
PDF Belge Kapağı - APIRO: SOAR Platformları için Otomatik Güvenlik Aracı API Öneri Çerçevesi
PDF Belgesini Görüntüle PDF İndir PDF Çevir
Ana Sayfa » Dokümantasyon » APIRO: SOAR Platformları için Otomatik Güvenlik Aracı API Öneri Çerçevesi

1 Giriş

Güvenlik Operasyon Merkezleri (SOC'lar), siber güvenlik olaylarını yönetmek için giderek daha fazla Güvenlik Orkestrasyonu, Otomasyon ve Yanıt (SOAR) platformlarını benimsemektedir. Bu platformlar API'lar aracılığıyla çeşitli güvenlik araçlarını entegre eder, ancak veri heterojenliği, anlamsal varyasyonlar ve mevcut API'ların çok büyük hacmi nedeniyle manuel API seçimi önemli zorluklar ortaya çıkarmaktadır.

APIRO, belirli olay yanıt görevleri için en ilgili güvenlik aracı API'larını öneren otomatik, öğrenme tabanlı bir çerçeve ile bu zorlukları ele almaktadır. Çerçeve, %91,9 Top-1 doğruluk göstermekte ve mevcut yaklaşımları önemli ölçüde geride bırakmaktadır.

%91,9

Top-1 Doğruluk

%26,93

Temel Yönteme Göre İyileşme

3

Değerlendirilen Güvenlik Aracı

36

Zenginleştirme Tekniği

2 APIRO Çerçeve Mimarisi

APIRO çerçevesi, SOAR ortamlarında güvenlik aracı API önerisi zorluklarını ele almak üzere tasarlanmış üç ana bileşenden oluşmaktadır.

2.1 Veri Zenginleştirme Modülü

Veri kıtlığını hafifletmek için APIRO, eş anlamlı değiştirme, geri çeviri ve bağlamsal gömme dahil 36 veri zenginleştirme tekniği kullanmaktadır. Bu modül, anlamsal anlamı korurken sentetik eğitim verileri oluşturarak API açıklamalarını zenginleştirir.

2.2 API Gömme Modeli

APIRO, güvenlik odaklı derlemeler üzerinde eğitilmiş özel bir kelime gömme modeli kullanmaktadır. Model, API işlevselliği arasındaki anlamsal ilişkileri aşağıdaki gömme hedefiyle yakalar:

$\min_{\theta} \sum_{(w,c) \in D} -\log \sigma(v_c \cdot v_w) - \sum_{(w,c') \in D'} \log \sigma(-v_{c'} \cdot v_w)$

burada $v_w$ ve $v_c$ sırasıyla kelime ve bağlam vektörlerini temsil eder, $D$ pozitif eğitim çiftlerini, $D'$ ise negatif örnekleri belirtir.

2.3 CNN Sınıflandırması

Bir Evrişimli Sinir Ağı, gömülü API açıklamalarını işleyerek belirli bir görev için en uygun 3 API'yi tahmin eder. CNN mimarisi, API dokümantasyonundaki n-gram desenlerini yakalamak için birden fazla filtre boyutu (2,3,4 gram) içerir.

3 Deneysel Sonuçlar

APIRO, kapsamlı API dokümantasyonuna sahip üç güvenlik aracı kullanılarak değerlendirilmiştir: Malware Information Sharing Platform (MISP), Limacharlie EDR ve Phantom SOAR platformu.

3.1 Performans Metrikleri

Çerçeve, birden fazla değerlendirme metriğinde dikkat çekici performans elde etmiştir:

  • Top-1 Doğruluk: %91,9
  • Top-2 Doğruluk: Temel yönteme göre %23,03 iyileşme
  • Top-3 Doğruluk: Temel yönteme göre %20,87 iyileşme
  • Ortalama Karşılıklı Sıralama (MRR): %23,7 iyileşme

3.2 Temel Yöntemlerle Karşılaştırma

APIRO, tüm metriklerde en gelişmiş temel yöntemleri önemli ölçüde geride bırakmıştır. Performans iyileşmesi, güvenlik API dokümantasyonundaki anlamsal varyasyonları ele almakta veri zenginleştirme ve özel gömme yaklaşımının etkinliğini göstermektedir.

Performans Karşılaştırma Grafiği

Deneysel sonuçlar, APIRO'nun doğruluk metriklerini temel yaklaşımlarla karşılaştırmaktadır. Çubuk grafik görselleştirmesi, Top-1, Top-2 ve Top-3 doğruluk ölçümlerinde tutarlı üstünlük göstermekte ve en önemli iyileşme Top-1 doğrulukta (%26,93 iyileşme) görülmektedir.

4 Teknik Analiz

Temel İçgörü

APIRO, SOC ekiplerinin güvenlik aracı API'larıyla etkileşimini temelden dönüştürerek manuel, hataya açık süreçleri akıllı, veri odaklı önerilerle değiştirmektedir. Çerçevenin asıl atılımı, güvenlik dokümantasyonunun karmaşık gerçekliğine yönelik pragmatik yaklaşımında yatmaktadır - kaosu standartlaştırmaya çalışmak yerine, onu etkili bir şekilde yönlendirmeyi öğrenir.

Mantıksal Akış

Mimari, sofistike bir üç aşamalı işlem hattı izlemektedir: ilk olarak, 36 teknikle sınırlı eğitim verilerini agresif bir şekilde zenginleştirir (CycleGAN'ın veri zenginleştirme stratejilerini anımsatan); ikinci olarak, güvenlik terminolojisi nüanslarını anlayan alana özgü gömme modelleri oluşturur; üçüncü olarak, hem yerel hem de genel anlamsal desenleri yakalamak için çok ölçekli CNN filtreleri kullanır. Bu sadece başka bir ML uygulaması değil, belirli, yüksek riskli bir alan için özel olarak oluşturulmuş bir sistemdir.

Güçlü ve Zayıf Yönler

%91,9 Top-1 doğruluk etkileyicidir, ancak test edilen üç araç ötesinde gerçek dünya genellemesi konusunda şüpheciyim. Kapsamlı veri zenginleştirmeye olan güven, dağıtım ölçeklenebilirliğini sınırlayabilecek altta yatan veri kıtlığı sorunlarını düşündürmektedir. Ancak, temel yöntemlere göre %26,93'lük iyileşme, sadece artımsal ayarlamalar değil, gerçek teknik yenilik göstermektedir.

Uygulanabilir İçgörüler

Güvenlik satıcıları, SOAR platformlarına APIRO benzeri işlevselliği entegre etmeyi derhal araştırmalıdır. Çerçeve, modern SOC'ları rahatsız eden API entegrasyon darboğazını ele almak için net bir yol haritası sağlamaktadır. Kuruluşlar, manuel, kırılgan entegrasyon yöntemlerine devam etmek yerine SOAR satıcılarını bu AI odaklı yaklaşımları benimsemeleri için zorlamalıdır.

Analiz Çerçevesi Örneği

Bir olay yanıt görevi düşünün: "192.168.1.100 IP adresinden gelen şüpheli ağ trafiğini araştır"

APIRO işlem iş akışı:

  1. Görev açıklaması ön işleme ve tokenizasyon
  2. Güvenlik odaklı kelime vektörleri kullanılarak gömme araması
  3. Çok ölçekli CNN özellik çıkarımı
  4. Mevcut güvenlik aracı API'larına karşı benzerlik puanlama
  5. Güven puanları ile Top-3 API önerileri

Çıktı: [MISP: search_events, Limacharlie: get_connections, Phantom: ip_reputation_check]

5 Gelecek Uygulamalar

APIRO'nun metodolojisi, güvenlik aracı önerisinin ötesinde önemli potansiyele sahiptir:

  • Kurumsal API Keşfi: Daha iyi hizmet keşfi ve entegrasyon için genel kurumsal API ekosistemlerine genişletme
  • Çapraz Platform Güvenlik Otomasyonu: Bulut sağlayıcıları ve güvenlik satıcıları arasında otomatik güvenlik iş akışlarını etkinleştirme
  • API Standardizasyonu: Standartlaştırılmış güvenlik API spesifikasyonlarının geliştirilmesine bilgi sağlama
  • Sıfır Güven Mimarisi: Akıllı API seçimi yoluyla dinamik güvenlik politikası uygulamasını destekleme

Gelecek araştırma yönleri arasında yeni güvenlik araçları için transfer öğrenmeyi dahil etme, az örnekli öğrenme yetenekleri geliştirme ve öneri şeffaflığı için açıklanabilir AI entegrasyonu bulunmaktadır.

6 Referanslar

  1. Zhu, J.Y., et al. "Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks." ICCV 2017.
  2. MISP Project. "Malware Information Sharing Platform." https://www.misp-project.org/
  3. Limacharlie. "Endpoint Detection and Response." https://limacharlie.io/
  4. Saxe, J., et al. "Deep Neural Network Based Malware Detection Using Two Dimensional Binary Program Features." IEEE S&P 2015.
  5. MITRE ATT&CK. "Enterprise Matrix." https://attack.mitre.org/
  6. Phantom. "Security Orchestration, Automation and Response Platform." https://www.phantom.us/
  7. Rapid7. "SOAR Platform for Threat Hunting." Teknik Dokümantasyon, 2021.