Durante un ciberataque, Los analistas de seguridad se centran en responder cuatro preguntas clave:qué pasó con la red, cual fue el impacto, Por qué sucedió, y que se debe hacer? Y mientras los analistas utilizan los avances en herramientas de software y hardware en su respuesta, las herramientas son incapaces de responder a estas preguntas tan bien como los humanos.

Ahora, Los investigadores de Penn State y la Oficina de Investigación del Ejército de los EE. UU. han desarrollado una técnica que podría mejorar significativamente el desempeño de los analistas de seguridad. Su herramienta, Se construyó una máquina de estados finitos, un modelo computacional que se puede utilizar para simular la lógica secuencial, para realizar la clasificación automática de datos de las tareas repetitivas que los analistas manejan con regularidad.

"Los analistas humanos realizan repetidamente cantidades sustanciales de trabajo de análisis, "dijo Peng Liu, Raymond G. Tronzo, M.D. Profesor de Ciberseguridad en la Facultad de Ciencias de la Información y Tecnología de Penn State e investigador del proyecto. "Si un agente inteligente puede ayudar a realizar el trabajo repetido, entonces los analistas pueden dedicar más tiempo a lidiar con situaciones de ciberataque nunca antes vistas ".

"La ciberdefensa siempre es un desafío debido al hecho de que los adversarios siempre hacen todo lo posible por ocultar sus actos entre una gran cantidad de actividades normales, "agregó Cliff Wang, jefe de Division, Ciencias de la Computación, Oficina de Investigación del Ejército, un elemento del Laboratorio de Investigación del Ejército del Comando de Desarrollo de Capacidades de Combate. "A medida que la ciberseguridad se vuelve cada vez más importante para las operaciones del Ejército, la capacidad de detectar y analizar comportamientos oscuros y anormales es esencial, especialmente durante la primera etapa de reconocimiento ".

Según Liu y sus colaboradores, una etapa que requiere mucho tiempo en el análisis cibernético es la clasificación de datos, lo que implica que un analista examine los detalles de varias fuentes de datos, como alertas del sistema de intrusión y registros de firewall, eliminar falsos positivos, y luego agrupar los indicadores relacionados para que las diferentes campañas de ataque puedan separarse entre sí. Su investigación tiene como objetivo reducir la carga de trabajo de los analistas automatizando este proceso.

En su estudio, los investigadores rastrearon 394 operaciones de clasificación de datos de 29 analistas de seguridad profesionales. Luego, utilizaron las máquinas de estado finito para reconocer patrones de ruta de ataque en más de 23 millones de entradas de registro de firewall y más de 35, 000 alertas de intrusión recopiladas de un monitoreo de 48 horas de una red con 5, 000 hosts.

"La identificación de rutas de ataque en múltiples fuentes de datos heterogéneas es una tarea repetitiva para los analistas de seguridad si el mismo tipo de ruta de ataque se analizó antes, y estas tareas repetitivas suelen consumir mucho tiempo, "dijo Liu." Además, Nuestras entrevistas con analistas de seguridad revelaron que podrían verse sustancialmente afectados por la fatiga causada por el análisis de una gran cantidad de eventos relacionados con la seguridad. y ansiedad causada por la presión del tiempo ".

La técnica combina el rastreo no intrusivo de operaciones de clasificación de datos humanos, gráficos de restricciones formales, y minería de datos de trazas de operaciones, y aprovecha los principios tanto de la informática como de la ciencia cognitiva. Las máquinas de estados finitos son "extraídas" de los rastros de operación.

"Los investigadores de Penn State han liderado los esfuerzos de investigación en la aplicación de métodos estadísticos, inteligencia artificial y aprendizaje automático para identificar los actividades de intrusión de bajo nivel, y avanzó el estado en este campo, "dijo Wang.

La investigación, "Aprendiendo de la experiencia de los expertos:hacia la clasificación automatizada de datos de seguridad cibernética, "fue financiado por la Oficina de Investigación del Ejército de EE. UU. y publicado en la edición de marzo de 2019 de Revista de sistemas IEEE .