В рамках исследования Microsoft о способах использования машинного обучения и ИИ для защиты безопасности компания выпустила инструментарий атаки с открытым исходным кодом, чтобы позволить исследователям создавать имитированные сетевые среды и видеть, как они справляются с атаками.

Microsoft 365 Defender Research выпустила CyberBattleSim, который создает модель сети и просчитывает, как субъекты угроз могут перемещаться по ней в поисках слабых мест. При построении симуляции атаки корпоративные защитники и исследователи создают различные узлы в сети и указывают, какие службы запущены, какие уязвимости присутствуют и какой тип контроля безопасности используется. Автоматизированные агенты, представляющие участников угроз, развертываются в симуляторе атаки для случайного выполнения действий при попытке захватить узлы.

“Цель имитируемого злоумышленника состоит в том, чтобы завладеть некоторой частью сети, используя эти заложенные уязвимости. В то время как имитируемый злоумышленник перемещается по сети, агент-защитник наблюдает за сетевой активностью, чтобы обнаружить присутствие злоумышленника и сдержать атаку”, — сообщила исследовательская группа Microsoft 365 Defender в посте, обсуждающем проект.

Использование обучения с подкреплением для обеспечения безопасности

Microsoft изучает, как алгоритмы машинного обучения, такие как обучение с подкреплением, могут быть использованы для повышения информационной безопасности. Подкрепляющее обучение — это тип машинного обучения, в котором автономные агенты учатся принимать решения на основе того, что происходит во время взаимодействия с окружающей средой. Цель агента -оптимизировать вознаграждение, и агенты постепенно принимают лучшие решения (чтобы получить большее вознаграждение) через повторные попытки.

Самый распространенный пример — видеоигры. Агент (игрок) учится лучше играть после повторных попыток, вспоминая действия, которые работали в предыдущих раундах.

В сценарии безопасности существует два типа автономных агентов: атакующие, пытающиеся украсть информацию из сети, и защитники, пытающиеся блокировать атаку или смягчить ее последствия. Действия агентов — это команды, которые злоумышленники могут выполнять на компьютерах, и действия, которые защитники могут выполнять в сети. В обучении с подкреплением цель атакующего агента состоит в том, чтобы максимизировать вознаграждение за успешную атаку, обнаруживая и захватывая больше систем в сети и находя больше вещей для кражи. Агент должен выполнить ряд действий, чтобы постепенно исследовать сети, но сделать это, не взламывая ни одной из существующих защитных систем безопасности.

Обучение безопасности и игры

Подобно человеческому разуму, ИИ лучше учится, играя в игры, поэтому Microsoft превратила кибервойны в игру. Соревнования по захвату флага и симуляция фишинга помогают укрепить безопасность, создавая сценарии, в которых защитники могут учиться на методах атакующих. Используя обучение с подкреплением, чтобы получить награду за “победу” в игре, агенты кибербитвы могут принимать лучшие решения о том, как они взаимодействуют с моделируемой сетью.

CyberBattleSim фокусируется на моделировании угроз: как злоумышленник может перемещаться в боковом направлении через сеть после первоначального нарушения. При моделировании атаки каждый узел представляет собой машину с операционной системой, программными приложениями, специфическими свойствами (элементами управления безопасностью) и набором уязвимостей. Инструментарий использует открытый интерфейс AI Gym для обучения автоматизированных агентов с использованием алгоритмов обучения подкреплению. Исходный код Python с открытым исходным кодом доступен на GitHub.

Беспорядочное поведение должно быстро вызывать тревогу, а средства безопасности отреагируют и вытеснят злоумышленника. Но если злодей в игре научился быстрее компрометировать системы, сокращая количество шагов, необходимых ему для достижения успеха, это дает защитникам представление о местах, нуждающихся в контроле безопасности, и помогает обнаружить активность раньше.

CyberBattleSim является частью более широкого исследования Microsoft по использованию машинного обучения и искусственного интеллекта для автоматизации многих задач, которые защитники безопасности в настоящее время решают вручную. В недавнем исследовании Microsoft почти три четверти организаций заявили , что их ИТ-команды тратят слишком много времени на задачи, которые должны быть автоматизированы. Автономные системы и обучение с подкреплением “могут быть использованы для создания устойчивых технологий обнаружения реальных угроз и надежных стратегий киберзащиты», — пишет пресс-секретарь Microsoft.

“С помощью CyberBattleSim мы пока лишь «царапаем поверхность» того, что, по нашему мнению, содержит огромный потенциал для применения подкрепляющего обучения к безопасности”, — добавили в компании.

https://venturebeat.com/2021/04/09/microsoft-open-sources-tool-to-use-ai-in-simulated-attacks/