Strumento open source Microsoft per utilizzare l’intelligenza artificiale negli attacchi simulati
Nell’ambito della ricerca di Microsoft sui modi per utilizzare l’apprendimento automatico e l’intelligenza artificiale per migliorare le difese di sicurezza, la società ha rilasciato un toolkit di attacco open source per consentire ai ricercatori di creare ambienti di rete simulati e vedere come reagiscono agli attacchi.
Microsoft 365 Defender Research ha rilasciato CyberBattleSim , che crea una simulazione di rete e modella il modo in cui gli attori delle minacce possono spostarsi lateralmente attraverso la rete alla ricerca di punti deboli. Durante la creazione della simulazione di attacco, i difensori aziendali e i ricercatori creano vari nodi sulla rete e indicano quali servizi sono in esecuzione, quali vulnerabilità sono presenti e che tipo di controlli di sicurezza sono in atto. Gli agenti automatizzati, che rappresentano gli attori delle minacce, vengono distribuiti nella simulazione di attacco per eseguire azioni casualmente mentre cercano di assumere il controllo dei nodi.
“L’obiettivo dell’aggressore simulato è quello di assumere la proprietà di una parte della rete sfruttando queste vulnerabilità piantate. Mentre l’attaccante simulato si muove attraverso la rete, un agente difensore controlla l’attività di rete per rilevare la presenza dell’aggressore e contenere l’attacco “, ha scritto il team di ricerca di Microsoft 365 Defender in un post discutendo del progetto.
Usare l’apprendimento per rinforzo per la sicurezza
Microsoft ha esplorato come utilizzare algoritmi di apprendimento automatico come l’apprendimento per rinforzo per migliorare la sicurezza delle informazioni. L’apprendimento per rinforzo è un tipo di apprendimento automatico in cui agenti autonomi imparano a prendere decisioni in base a ciò che accade mentre interagiscono con l’ambiente. L’obiettivo dell’agente è ottimizzare la ricompensa e gli agenti prendono gradualmente decisioni migliori (per ottenere una ricompensa maggiore) attraverso ripetuti tentativi.
L’esempio più comune è giocare a un videogioco. L’agente (giocatore) migliora nel giocare dopo ripetuti tentativi ricordando le azioni che hanno funzionato nei round precedenti.
In uno scenario di sicurezza, esistono due tipi di agenti autonomi: gli aggressori che tentano di sottrarre informazioni dalla rete e i difensori che tentano di bloccare l’attacco o mitigarne gli effetti. Le azioni degli agenti sono i comandi che gli aggressori possono eseguire sui computer e i passaggi che i difensori possono eseguire nella rete. Utilizzando il linguaggio dell’apprendimento per rinforzo, l’obiettivo dell’agente attaccante è massimizzare la ricompensa di un attacco riuscito scoprendo e acquisendo più sistemi sulla rete e trovando più cose da rubare. L’agente deve eseguire una serie di azioni per esplorare gradualmente le reti, ma senza attivare alcuna delle difese di sicurezza che potrebbero essere in atto.
Formazione e giochi sulla sicurezza
Proprio come la mente umana, l’IA impara meglio giocando, quindi Microsoft ha trasformato CyberBattleSim in un gioco. Le competizioni Capture the flag e le simulazioni di phishing aiutano a rafforzare la sicurezza creando scenari in cui i difensori possono imparare dai metodi degli aggressori. Utilizzando l’apprendimento per rinforzo per ottenere la ricompensa di “vincere” un gioco, gli agenti di CyberBattleSim possono prendere decisioni migliori su come interagire con la rete simulata.
CyberBattleSim si concentra sulla modellazione delle minacce su come un utente malintenzionato può spostarsi lateralmente attraverso la rete dopo la violazione iniziale. Nella simulazione dell’attacco, ogni nodo rappresenta una macchina con un sistema operativo, applicazioni software, proprietà specifiche (controlli di sicurezza) e una serie di vulnerabilità. Il toolkit utilizza l’interfaccia Open AI Gym per addestrare agenti automatizzati utilizzando algoritmi di apprendimento per rinforzo. Il codice sorgente Python open source è disponibile su GitHub .
Un comportamento irregolare dovrebbe attivare rapidamente allarmi e gli strumenti di sicurezza risponderebbero e sfratterebbero l’attore malintenzionato. Ma se l’attore ha imparato a compromettere i sistemi più rapidamente riducendo il numero di passaggi necessari per avere successo, ciò fornisce ai difensori una panoramica dei luoghi che necessitano di controlli di sicurezza e aiuta a rilevare l’attività prima.
CyberBattleSim fa parte della più ampia ricerca di Microsoft sull’utilizzo dell’apprendimento automatico e dell’intelligenza artificiale per automatizzare molte delle attività che i difensori della sicurezza stanno attualmente gestendo manualmente. In un recente studio Microsoft , quasi tre quarti delle organizzazioni ha affermato che i propri team IT hanno dedicato troppo tempo alle attività che dovrebbero essere automatizzate. Sistemi autonomi e apprendimento di rinforzo “possono essere sfruttati per costruire tecnologie resilienti di rilevamento delle minacce del mondo reale e solide strategie di difesa informatica”, ha scritto Microsoft.
“Con CyberBattleSim, stiamo solo scalfendo la superficie di quello che crediamo sia un enorme potenziale per applicare l’apprendimento per rinforzo alla sicurezza”, ha aggiunto la società.