Инструмент Microsoft с открытым исходным кодом для использования искусственного интеллекта в имитационных атаках

Источник · Перевод автора

В рамках исследования Microsoft способов использования машинного обучения и искусственного интеллекта для улучшения защиты безопасности компания выпустила набор инструментов для атак с открытым исходным кодом, позволяющий исследователям создавать моделируемые сетевые среды и видеть, как они справляются с атаками.

Microsoft 365 Defender Research выпустила CyberBattleSim, который создает сетевое моделирование и моделирует, как злоумышленники могут перемещаться по сети в поисках слабых мест. При построении симуляции атаки защитники предприятия и исследователи создают различные узлы в сети и указывают, какие службы работают, какие уязвимости присутствуют и какие меры безопасности используются. Автоматизированные агенты, представляющие злоумышленников, развертываются при моделировании атаки для произвольного выполнения действий при попытке захватить узлы.

«Цель симулированного злоумышленника – завладеть некоторой частью сети, используя эти заложенные уязвимости. Пока смоделированный злоумышленник перемещается по сети, агент защитника наблюдает за сетевой активностью, чтобы обнаружить присутствие злоумышленника и сдержать атаку», – написала исследовательская группа Microsoft 365 Defender в своем сообщении, посвященном проекту.

Использование обучения с подкреплением для безопасности

Microsoft изучает, как можно использовать алгоритмы машинного обучения, такие как обучение с подкреплением, для повышения информационной безопасности. Обучение с подкреплением – это тип машинного обучения, в котором автономные агенты учатся принимать решения на основе того, что происходит при взаимодействии с окружающей средой. Цель агента – оптимизировать вознаграждение, и агенты постепенно принимают более обоснованные решения (чтобы получить большее вознаграждение) посредством повторных попыток.

Самый распространенный пример – видеоигра. Агент (игрок) становится лучше в игре после повторных попыток, запоминая действия, которые работали в предыдущих раундах.

В сценарии безопасности есть два типа автономных агентов: злоумышленники, пытающиеся украсть информацию из сети, и защитники, пытающиеся заблокировать атаку или смягчить ее последствия. Действия агентов – это команды, которые злоумышленники могут выполнять на компьютерах, и действия, которые защитники могут выполнять в сети. Используя язык обучения с подкреплением, цель атакующего агента – максимизировать вознаграждение за успешную атаку путем обнаружения и захвата большего количества систем в сети и поиска большего количества вещей, которые можно украсть. Агент должен выполнить серию действий, чтобы постепенно исследовать сети, но делать это без включения каких-либо средств защиты, которые могут иметь место.

Обучение безопасности и игры

Как и человеческий разум, ИИ лучше учится, играя в игры, поэтому Microsoft превратила CyberBattleSim в игру. Конкурсы «Захват флагов» и симуляции фишинга помогают укрепить безопасность, создавая сценарии, в которых защитники могут учиться на методах злоумышленника. Используя обучение с подкреплением для получения награды в виде «победы» в игре, агенты CyberBattleSim могут принимать более обоснованные решения о том, как они взаимодействуют с моделируемой сетью.

CyberBattleSim фокусируется на моделировании угроз, как злоумышленник может перемещаться по сети в поперечном направлении после первоначального взлома. При моделировании атаки каждый узел представляет собой машину с операционной системой, программными приложениями, определенными свойствами (элементами управления безопасностью) и набором уязвимостей. Инструментарий использует интерфейс Open AI Gym для обучения автоматизированных агентов с использованием алгоритмов обучения с подкреплением. Исходный код Python с открытым исходным кодом доступен на GitHub.

Неустойчивое поведение должно быстро вызывать тревогу, а инструменты безопасности среагируют и вытеснят злоумышленника. Но если субъект узнал, как быстрее взламывать системы, сократив количество шагов, необходимых для достижения успеха, это дает защитникам представление о местах, где требуется контроль безопасности, и помогает быстрее обнаруживать активность.

CyberBattleSim является частью более широкого исследования Microsoft по использованию машинного обучения и искусственного интеллекта для автоматизации многих задач, которые защитники безопасности в настоящее время решают вручную. В недавнем исследовании Microsoft почти три четверти организаций заявили, что их ИТ-команды тратят слишком много времени на задачи, которые следует автоматизировать. Автономные системы и обучение с подкреплением «можно использовать для создания устойчивых технологий обнаружения реальных угроз и надежных стратегий киберзащиты», – пишет Microsoft.

«Создавая CyberBattleSim, мы лишь поверхностно касаемся того, что, по нашему мнению, является огромным потенциалом для применения обучения с подкреплением в обеспечении безопасности», – добавила компания.