Nyt værktøj kan reducere arbejdsbyrden for sikkerhedsanalytikere ved at automatisere datatriage

Under et cyberangreb, sikkerhedsanalytikere fokuserer på at besvare fire nøglespørgsmål:hvad skete der med netværket, hvad var virkningen, hvorfor skete det, og hvad skal der gøres? Og mens analytikere bruger fremskridt inden for software- og hardwareværktøjer i deres svar, værktøjerne er ikke i stand til at besvare disse spørgsmål så godt, som mennesker kan.

Nu, forskere ved Penn State og U.S. Army Research Office har udviklet en teknik, der markant kan forbedre sikkerhedsanalytikeres ydeevne. Deres værktøj, en finite state-maskine - en beregningsmodel, der kan bruges til at simulere sekventiel logik - blev konstrueret til at udføre automatisk datatriage af gentagne opgaver, som analytikere regelmæssigt håndterer.

"Væsentlige mængder af analysearbejde udføres gentagne gange af menneskelige analytikere, " sagde Peng Liu, Raymond G. Tronzo, M.D. professor i cybersikkerhed i Penn State's College of Information Sciences and Technology og efterforsker på projektet. "Hvis en intelligent agent kan hjælpe med at udføre det gentagne arbejde, så kan analytikerne bruge mere tid på at håndtere tidligere usete cyberangrebssituationer."

"Cyberforsvar er altid udfordrende på grund af det faktum, at modstandere altid prøver deres bedste for at skjule deres handlinger blandt en enorm mængde normale aktiviteter, " tilføjede Cliff Wang, divisionschef, Datalogi, Hærens forskningskontor, et element i Combat Capabilities Development Command's Army Research Laboratory. "I takt med at cybersikkerhed bliver stadig vigtigere for hærens operationer, evnen til at opdage og analysere obskur og unormal adfærd er afgørende, især under den tidlige rekognosceringsfase."

Ifølge Liu og hans samarbejdspartnere, en tidskrævende fase i cyberanalyse er datatriage, som involverer en analytiker, der undersøger detaljerne i forskellige datakilder, såsom indtrængningssystemalarmer og firewalllogfiler, luge ud af falske positiver, og derefter gruppere de relaterede indikatorer, så forskellige angrebskampagner kan adskilles fra hinanden. Deres forskning har til formål at reducere analytikernes arbejdsbyrder ved at automatisere denne proces.

I deres undersøgelse, forskerne sporede 394 datatriage-operationer af 29 professionelle sikkerhedsanalytikere. Derefter, de brugte finite state-maskinerne til at genkende angrebsstimønstre i mere end 23 millioner firewall-logposter og mere end 35, 000 indbrudsalarmer indsamlet fra en 48-timers overvågning af et netværk med 5, 000 værter.

"At identificere angrebsstier i flere heterogene datakilder er en gentagen opgave for sikkerhedsanalytikere, hvis den samme type angrebssti blev analyseret før, og sådanne gentagne opgaver er ofte meget tidskrævende, " sagde Liu. "Desuden, vores interviews med sikkerhedsanalytikere viste, at de kunne blive væsentligt påvirket af træthed forårsaget af at analysere et stort antal sikkerhedsrelaterede hændelser, og angst forårsaget af tidspres."

Teknikken kombinerer ikke-påtrængende sporing af menneskelige data-triage-operationer, formelle begrænsningsgrafer, og datamining af operationsspor, og udnytter principper inden for både datalogi og kognitiv videnskab. De finite state maskiner er "mineret" spor ude af drift.

"Forskere fra Penn State har været førende i forskningsindsatsen med at anvende statistiske metoder, kunstig intelligens og maskinlæring til at identificere svære at finde, lavt niveau indtrængen aktiviteter, og fremmede staten på dette område, " sagde Wang.

Forskningen, "Lær af eksperters erfaring:Mod automatiseret cybersikkerhedsdatatriage, " blev finansieret af U.S. Army Research Office og offentliggjort i marts 2019-udgaven af IEEE Systems Journal .