p Durante um ataque cibernético, os analistas de segurança se concentram em responder a quatro perguntas-chave:o que aconteceu com a rede, qual foi o impacto, por que isso aconteceu, e o que deve ser feito? E embora os analistas utilizem os avanços nas ferramentas de software e hardware em sua resposta, as ferramentas são incapazes de responder a essas perguntas tão bem quanto os humanos. p Agora, pesquisadores da Penn State e do U.S. Army Research Office desenvolveram uma técnica que pode melhorar significativamente o desempenho dos analistas de segurança. Sua ferramenta, uma máquina de estado finito - um modelo computacional que pode ser usado para simular a lógica sequencial - foi construída para conduzir a triagem automática de dados de tarefas repetitivas que os analistas lidam regularmente.

p "Quantidades substanciais de trabalho de análise são feitas repetidamente por analistas humanos, "disse Peng Liu, Raymond G. Tronzo, Professor M.D. de Cibersegurança na Faculdade de Ciências e Tecnologia da Informação da Penn State e investigador do projeto. "Se um agente inteligente pode ajudar a fazer o trabalho repetido, então, os analistas podem passar mais tempo lidando com situações de ataque cibernético nunca vistas antes. "

p "A defesa cibernética é sempre desafiadora devido ao fato de que os adversários sempre tentam o melhor para esconder seus atos entre uma grande quantidade de atividades normais, "acrescentou Cliff Wang, chefe de divisão, Ciências da Computação, Escritório de Pesquisa do Exército, um elemento do Laboratório de Pesquisa do Exército do Comando de Desenvolvimento de Capacidades de Combate. "À medida que a segurança cibernética se torna cada vez mais importante para as operações do Exército, a capacidade de detectar e analisar comportamentos obscuros e anormais é essencial, especialmente durante o estágio inicial de reconhecimento. "

p De acordo com Liu e seus colaboradores, um estágio demorado na análise cibernética é a triagem de dados, que envolve um analista examinando os detalhes de várias fontes de dados, como alertas de sistema de intrusão e logs de firewall, eliminando falsos positivos, e, em seguida, agrupar os indicadores relacionados para que diferentes campanhas de ataque possam ser separadas umas das outras. Sua pesquisa visa reduzir a carga de trabalho dos analistas, automatizando esse processo.

p Em seu estudo, os pesquisadores rastrearam 394 operações de triagem de dados de 29 analistas de segurança profissionais. Então, eles utilizaram as máquinas de estado finito para reconhecer padrões de caminho de ataque em mais de 23 milhões de entradas de log de firewall e mais de 35, 000 alertas de intrusão coletados de um monitoramento de 48 horas de uma rede com 5, 000 hosts.

p "Identificar caminhos de ataque em várias fontes de dados heterogêneas é uma tarefa repetitiva para analistas de segurança se o mesmo tipo de caminho de ataque foi analisado antes, e essas tarefas repetitivas costumam consumir muito tempo, "disse Liu." Além disso, nossas entrevistas com analistas de segurança revelaram que eles podem ser substancialmente afetados pelo cansaço causado pela análise de um grande número de eventos relacionados à segurança, e ansiedade causada pela pressão do tempo. "

p A técnica combina rastreamento não intrusivo de operações de triagem de dados humanos, gráficos de restrição formal, e mineração de dados de traços de operação, e alavanca os princípios da ciência da computação e da ciência cognitiva. As máquinas de estado finito são traços fora de operação "extraídos".

p "Os pesquisadores da Penn State têm liderado os esforços de pesquisa na aplicação de métodos estatísticos, inteligência artificial e aprendizado de máquina para identificar difíceis de encontrar, atividades de intrusão de baixo nível, e avançou o estado neste campo, "disse Wang.

p A pesquisa, "Aprendendo com a experiência dos especialistas:Rumo à triagem automatizada de dados de segurança cibernética, "foi financiado pelo Escritório de Pesquisa do Exército dos EUA e publicado na edição de março de 2019 da IEEE Systems Journal .