Auspex: Building Threat Modeling Tradecraft into an Artificial Intelligence-based Copilot

要約

Auspexを提示します – 脅威モデリングの商業をキャプチャする生成的人工知能ベースの方法の専門コレクションを使用して構築された脅威モデリングシステムです。
TradeCraft Prommissingと呼ばれるこの新しいアプローチは、生成AIベースの脅威モデリングシステムを促進するプロンプト内の脅威モデラーの地上知識をエンコードすることに集中しています。
Auspexは、2つの処理段階でTradecraftプロンプトを採用しています。
最初の段階は、システムの分解と説明に関連する脅威のモデル化の知識をエンコードするプロンプトを使用して、システムアーキテクチャ情報の摂取と処理を中心にしています。
第2段階は、脅威の識別、分類、および緩和に関する商標知識をエンコードするプロンプトのコレクションを通じて、結果として得られるシステム分析をチェーンすることに焦点を当てています。
2段階のプロセスは、脅威シナリオ、脅威タイプ、情報セキュリティの分類、潜在的な緩和を指定するシステムの脅威マトリックスを生成します。
Auspexは、手動プロセスが必要な週または数か月に比べて、数分で正式な脅威モデル出力を生成します。
さらに広く言えば、微調整またはエージェントベースのアドオンとは対照的に、オーダーメイドの商業プロンプトに焦点を当てることは、既存のマニュアルおよび自動化された脅威モデリングプロセスの両方の複雑さ、リソース、および標準化の制限に対処できる軽量で柔軟な、モジュラー、および拡張可能な基礎システムになります。
これに関連して、実際の銀行システムでAuspexによって生成された脅威モデルの品質と有用性を測定するサイバーセキュリティの主題から収集されたフィードバックに基づいた評価手順を通じて、脅威モデラーに対するAuspexのベースライン値を確立します。
締めくくり、Auspexの強化の計画についての議論で締めくくります。

要約(オリジナル)

We present Auspex – a threat modeling system built using a specialized collection of generative artificial intelligence-based methods that capture threat modeling tradecraft. This new approach, called tradecraft prompting, centers on encoding the on-the-ground knowledge of threat modelers within the prompts that drive a generative AI-based threat modeling system. Auspex employs tradecraft prompts in two processing stages. The first stage centers on ingesting and processing system architecture information using prompts that encode threat modeling tradecraft knowledge pertaining to system decomposition and description. The second stage centers on chaining the resulting system analysis through a collection of prompts that encode tradecraft knowledge on threat identification, classification, and mitigation. The two-stage process yields a threat matrix for a system that specifies threat scenarios, threat types, information security categorizations and potential mitigations. Auspex produces formalized threat model output in minutes, relative to the weeks or months a manual process takes. More broadly, the focus on bespoke tradecraft prompting, as opposed to fine-tuning or agent-based add-ons, makes Auspex a lightweight, flexible, modular, and extensible foundational system capable of addressing the complexity, resource, and standardization limitations of both existing manual and automated threat modeling processes. In this connection, we establish the baseline value of Auspex to threat modelers through an evaluation procedure based on feedback collected from cybersecurity subject matter experts measuring the quality and utility of threat models generated by Auspex on real banking systems. We conclude with a discussion of system performance and plans for enhancements to Auspex.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google