Employing PDDL Plan to recommend security controls against cyberattacks

Abstract

Cybersecurity represents a dynamic and rapidly evolving discipline continuously challenged by increasingly sophisticated threats that could benefit most from the introduction of Artificial Intelligence (AI). AI offers significant opportunities to enhance cybersecurity, for example, to improve attack modeling, prediction, and response. A promising field of research is AI planning, which involves the automated generation of action sequences to achieve specific goals. For example, in a logistics scenario, the goal could be satisfy a location, while in a vulnerability scenario, the goal can be defined as account credential is compromised. We introduce an AI-based approach that uses the Planning Domain Definition Language (PDDL) to model the behavior of cyberattacks, specifically phishing and ransomware. Using an AI planner, we generate detailed attack steps and classify them into standard attack lifecycle phases, including reconnaissance, weaponization, delivery, exploitation, installation, and command & control. The classification is used to propose security controls that align with industrial frameworks such as the NIST Cybersecurity Framework and ISO 27001. The approach was evaluated using a scenario of a phishing attack, highlighting the effectiveness of classifying attack steps and providing countermeasures in compliance with de facto standards. The results highlight the potential of our approach to AI planning to provide a structured and proactive methodology to map and understand the behavior of cyberattacks and provide recommendations for specific protections according to compliance demands.

Cibersegurança representa uma disciplina dinâmica e em rápida evolução, continuamente desafiada por ameaças cada vez mais sofisticadas, que podem se beneficiar amplamente da introdução da Inteligência Artificial (IA). A IA oferece oportunidades significativas para aprimorar a cibersegurança, por exemplo, melhorando o modelamento de ataques, a previsão e a resposta. Um campo promissor de pesquisa é o planejamento em IA, que envolve a geração automatizada de sequências de ações para alcançar objetivos específicos. Em um cenário de logística, por exemplo, o objetivo pode ser satisfazer uma localização, enquanto em um cenário de vulnerabilidade o objetivo pode ser definido como a credencial da conta foi comprometida. Nós introduzimos uma abordagem baseada em IA que utiliza a Linguagem de Definição de Domínio de Planejamento (PDDL) para modelar o comportamento de ciberataques, especificamente phishing e ransomware. Usando um planejador de IA, geramos etapas detalhadas do ataque e as classificamos em fases padrão do ciclo de vida do ataque, incluindo reconhecimento, armamento, entrega, exploração, instalação e comando & controle. Essa classificação é usada para propor controles de segurança que se alinham a frameworks industriais, como o NIST Cybersecurity Framework e a ISO 27001. A abordagem foi avaliada em um cenário de ataque de phishing, destacando a eficácia de classificar as etapas do ataque e fornecer contramedidas em conformidade com padrões de facto. Os resultados evidenciam o potencial de nossa abordagem de planejamento em IA para fornecer uma metodologia estruturada e proativa para mapear e compreender o comportamento de ciberataques, além de recomendar proteções específicas de acordo com as demandas de conformidade.