Forskaren som vill upptäcka cyberangreppen i tid
Forskare inom cybersäkerhet
De flesta organisationer sitter med en komplicerad IT-miljö, en miljö som dessutom kan vara sårbar för attacker. Men att testa en miljö i den verkliga världen är både resurskrävande och dyrt. Mathias Ekstedt, professor på avdelningen för nätverk och systemteknik, på KTH, har ägnat sin forskning åt att bygga upp miljöer, så kallade digitala tvillingar, där attacksimuleringar utförs.
– Genom att modellera systemkonfigurationer kan vi sedan generera ut möjliga attackvägar. Vi kan även göra analyser som identifierar de lätta vägarna att ta sig in i systemmiljön, säger han.
Att täppa igen sårbarheter och skydda sig från cyberattacker är något som står högt på agendan för både företag och myndigheter. Sätten att göra en cyberattack på är många och det är väldigt svårt att kartlägga och känna till alla angreppssätt som finns och hur de kan realiseras i en specifik systemmiljö. Ett sätt att få bättre koll är att bygga en digital tvilling, som är en modell av verkligheten, och göra analysen av verkligheten i den digitala tvillingen. Tack vare den digitala tvilling som Mathias Ekstedt byggt upp kan han också lära sig mer om de angreppsvägar som finns.
– Vi kan skapa digitala angripare och låta dem angripa den digitala tvillingen och studera uppkomna mönster som vi kan leta efter i de loggar som finns tillgängliga i den riktiga systemmiljön. Och man kan göra det omvända, studera loggar från attacker i en miljö och översätta dessa till tvilling-angripare och sedan lära sig bra försvarsstrategier.
Övas på olika angreppsscenarion
Just nu pågår ett projekt vid KTH:s Centrum för cyberförsvar och informationssäkerhet (CDIS) tillsammans med Totalförsvarets forskningsinstitut (FOI) där det ska övas på olika angreppsscenarion.
– FOI har en övningsmiljö i vilken man kan sätta upp riktiga miljöer och genomföra angrepp i dem. Vanligtvis används det för att träna cybersäkerhetspersonal att identifiera och försvara sig mot FOIs angripare. Nu ska vi göra samma men låta en AI utgöra försvaret. Denna AI-agent ska först tränas i vår digitala tvilling över den systemmiljö som finns implementerad i FOIs labb, berättar Mathias Ekstedt.
Ett viktigt mål med forskningsstudien är att bygga en simuleringsinfrastruktur som går att träna förmåga på.
– Att ha en digital tvilling som kan simulera cyberattacker adresserar ett stort problem i säkerhetsvärlden där data bakom de attacker som utförs typiskt inte går att få tag på. Med den digitala tvillingen kan vi i princip producera en oändlig mängd angripardata. För att en AI-försvarare ska kunna fatta goda beslut så måste den ha sett en stor mängd attackscenarion, både vanliga och ovanliga. Och många fler än vi hoppas att någon faktiskt behöver utsättas på riktigt. Om det funkar så finns en stor potential att lösa de utmaningar som finns inom cybersäkerhetsvärlden, säger Mathias Ekstedt.