Metodologie e strumenti per operazioni cyber automatizzate

Various aspects of cybersecurity operations previously carried out by human operators can be fully or partially automated. This work examines several automation scenarios, exploring the benefits and limitations of these approaches. The first scenario concerns penetration testing and vulnerability assessment activities, with the exploration of a semi-automatic symbolic system for conducting offensive operations against enterprise IT systems. Automation is achieved through a Prolog solver capable of modeling the attack task as a theorem. Using a pre-built knowledge base, it leverages its knowledge to launch commands, acquire new facts, and deduce the next commands to continue the assessment. At each step, the operator can pause the reasoning mechanism to insert additional facts into the knowledge base or suggest commands to the system in case it performs incorrect or potentially destructive operations. The effectiveness of this approach has been demonstrated on several boot-to-root CTF challenges. The second context considered relates to training exercises aimed at teaching cybersecurity techniques—both offensive and defensive—to students. In this context, the tools examined are Cyber Ranges, where various aspects are subject to the automation study proposed in this work. Specifically, the focus is on automating scenario creation using Scenario Definition Languages (SDL), automating infrastructure deployment for cyber exercises through the Infrastructure as Code (IaC) paradigm, and automating student evaluation through graph analysis. Within these exercises, one type of activity is the Attack and Defense (A/D) competition. In these competitions, certain student operations can be automated to lower the entry barrier, such as player-side infrastructure deployment, which is also addressed in this work using automated deployment techniques via IaC. Finally, the last issue addressed is an attack aimed at re-identifying users in geolocated datasets. In this context, it is possible to automate the association of an identity with a pseudo-anonymized trace in the target dataset through specific logical reasoning. The proposed automation technique for this scenario is a custom tool that models the data as a graph describing user movements, allows the specification of the attack objective, and applies the appropriate logical reasoning to carry out the specified attack.

Vari aspetti delle operazioni di cybersicurezza precedentemente svolti da operatori umani possono essere completamente o parzialmente automatizzati. Questo lavoro esamina diversi scenari di automazione, esplorando i vantaggi e le limitazioni di questi approcci. Il primo scenario riguarda le attività di penetration testing e valutazione delle vulnerabilità, con l’esplorazione di un sistema simbolico semi-automatico per condurre operazioni offensive contro sistemi IT aziendali. L’automazione è ottenuta tramite un risolutore Prolog capace di modellare il compito di attacco come un teorema. Utilizzando una base di conoscenza predefinita, il sistema sfrutta le sue conoscenze per lanciare comandi, acquisire nuovi fatti e dedurre i comandi successivi per proseguire la valutazione. A ogni passaggio, l’operatore può interrompere il meccanismo di ragionamento per inserire ulteriori fatti nella base di conoscenza o suggerire comandi al sistema nel caso in cui esso esegua operazioni errate o potenzialmente distruttive. L’efficacia di questo approccio è stata dimostrata su diverse sfide CTF boot-to-root. Il secondo contesto considerato riguarda gli esercizi di formazione volti a insegnare tecniche di cybersicurezza—sia offensive che difensive—agli studenti. In questo ambito, gli strumenti esaminati sono i Cyber Range, dove vari aspetti sono soggetti allo studio dell’automazione proposto in questo lavoro. In particolare, l’attenzione è rivolta all’automazione della creazione degli scenari tramite linguaggi di definizione degli scenari (SDL), all’automazione del deployment dell’infrastruttura per gli esercizi cyber attraverso il paradigma Infrastructure as Code (IaC), e all’automazione della valutazione degli studenti tramite analisi dei grafi. All’interno di questi esercizi, un tipo di attività è la competizione Attack and Defense (A/D). In queste competizioni, alcune operazioni degli studenti possono essere automatizzate per abbassare la barriera d’ingresso, come il deployment dell’infrastruttura lato giocatore, affrontato anch’esso in questo lavoro tramite tecniche di deployment automatizzato via IaC. Infine, l’ultimo tema affrontato è un attacco volto a re-identificare gli utenti in dataset geolocalizzati. In questo contesto, è possibile automatizzare l’associazione di un’identità a una traccia pseudo-anonimizzata nel dataset target tramite specifici ragionamenti logici. La tecnica di automazione proposta per questo scenario è uno strumento personalizzato che modella i dati come un grafo descrivente i movimenti degli utenti, consente la specificazione dell’obiettivo dell’attacco e applica il ragionamento logico appropriato per eseguire l’attacco specificato.