Using LLM's for Empowering DevSecOps

By Daniel Díaz-López

Elevator Pitch

El uso de LLM’s para ciberseguridad defensiva u ofensiva se ha popularizado cada vez mas. En esta charla presentaremos como se puede utilizar un LLM para la construcción de árboles de ataque y defensa que permitan mejorar la práctica de DevSecOps, y también entender la economía del atacante.

Description

En esta charla se explicará el concepto de DevSecOps para entender el contexto sobre el cual se aplica nuestra propuesta, y que tipo de inicativas han existido en el pasado que usan IA para mejorar la práctica de DevSecOps.

Posteriormente, se explicará que es un Modelado de Representación de Ataques (ARM), y dentro de este la importancia que tienen los Grafos y Arboles de Ataque para caracterizar el comportamiento del adversario. De la misma forma, se explicarán algunas variaciones como los Arboles de Ataque y Protección, Arboles de Defensa y Arboles de Ataque y Defensa, estos últimos para identificar la forma de cortar el camino de un ataque a través de controles de seguridad dispuestos de manera estratégica en alguna de las ramas del árbol. Finalmente, se explicará como se pueden enriquecer los árboles de ataque y defensa con mediciones de esfuerzo del atacante por rama, con el fin de identificar la rama mas probable a seguir por el adversario (También conocido como la economía del atacante) la cual generalmente es aquella que le genere la mayor recompenza con el menor esfuerzo.

Dado que la creación de Arboles de Ataque y Defensa para mejorar las prácticas DevSecOps, requieren de un gran análisis del entorno y un conocimiento de técnicas de ataque y defensa, este proceso puede ser muy engorroso y lento. Por ello, introduciremos nuestra propuesta de algoritmo para el uso de LLM’s para la creación de Arboles de Ataque y Defensa, y así apoyar al Analista de Ciberseguridad en el proceso de aseguramiento de su infraestructura tecnológica.

Finalmente, haremos una demostración de uso de nuestro algoritmo utilizando GPT-4, sobre un escenario de DevSecOps en la nube.

Notes

Somos un equipo de investigadores encantados de llevar nuestros hallazgos hacia la comunidad de ciberseguridad. Desde hace ya un tiempo venimos trabajando el estudio de los LLM’s para ciberseguridad, logrando resultados como los que se indican a continuación:

  • Martin Bedoya, Sara Palacios, Daniel Díaz-López, Pantaleone Nespoli, Estefania Laverde, Sebastián Suárez. Securing cloud-based military systems with Security Chaos Engineering and Artificial Intelligence. International Conference on Availability, Reliability, and Security (ARES 2023), Benevento, Italy, October 2023.

  • Martin Bedoya, Sara Palacios, Daniel Díaz-López, Pantaleone Nespoli, Estefania Laverde. Enhancing DevSecOps practice with Large Language Model and Security Chaos Engineering. Journal Computer and Security. Diciembre 2023. Enviado para revisión.

  • Martin Bedoya, Sara Palacios, Daniel Díaz-López, Pantaleone Nespoli. Applying Chaos to reach Security: On The Application of Security Chaos Engineering to the DevSecOps practice. IEEE Computing magazine. Enero 2024. Enviado para revisión.

Los perfiles de los speakers de esta charla son los siguientes:

  • Martin Bedoya es Lider del Area de Desarrollo Seguro en NTT Data, ingeniero de sistemas con experiencia en desarrollo de software, hacking ético y seguridad en el ciclo de vida del software. Es estudiante de la maestría en Matemáticas Aplicadas y Ciencias de la Computación de la Universidad del Rosario.

  • Sara Palacios es Ingeniera de Ciberseguridad en Baufest, profesional en Matemáticas Aplicadas y Ciencias de la Computación. Apoya a equipos de desarrollo de diferentes organizaciones para mejorar sus prácticas de codificación segura a través de talleres. Colabora con la definición y creación de políticas, estándares y procedimientos de seguridad. Mente abierta y polivalente para trabajar en diferentes áreas de ciberseguridad como red team, blue team, gobernanza y arquitectura. LinkedIn Profile.

  • Daniel Díaz-López es profesor de carrera de la Universidad del Rosario para el programa de pregrado y maestría en Matemáticas Aplicadas y Ciencias de la Computación. Doctor en Informática en el área de ciberseguridad de la Universidad de Murcia (España), investigador con diferentes publicaciones en revistas y conferencias sobre técnicas de inteligencia de ciberamenazas, mecanismos de preservación de la privacidad, ciclo de vida de desarrollo de software seguro, técnicas de hacking ético y seguridad para Internet de las Cosas (IoT). LinkedIn Profile.

  • Pantaleone Nespoli es un investigador postdoctoral que trabaja en el Departamento de Ingeniería de la Información y las Comunicaciones de la Universidad de Murcia, España, y el equipo SCN del laboratorio SAMOVAR, en el Institut Polytechnique de París. Su investigación se centra en la formación en ciberseguridad y ciberdefensa, con especial interés en la detección y respuesta a intrusiones y desinformación en redes sociales. LinkedIn Profile