Los investigadores desarrollan un enfoque automatizado para extraer políticas de seguridad del software

Un equipo de investigadores de UTSA está explorando cómo un nuevo enfoque automatizado podría prevenir las vulnerabilidades de seguridad del software.

El equipo, compuesto por Ram Krishnan, profesor asociado en el Departamento de Ingeniería Eléctrica e Informática de UTSA; Yufei Huang, profesor de Ingeniería Eléctrica e Informática; Jianwei Niu, profesor de Ciencias de la Computación; Ravi Sandhu, profesor y Presidente Distinguido de Lutcher Brown en Seguridad Cibernética; y John Heaps, investigador postdoctoral en el Instituto de Seguridad Cibernética de UTSA, buscaron desarrollar un modelo de aprendizaje profundo que pudiera enseñarle al software cómo extraer políticas de seguridad automáticamente.

A diferencia de los modelos de software tradicionales, el proceso de desarrollo de software ágil está destinado a producir software a un ritmo más rápido, eliminando la necesidad de dedicar tiempo a documentos completos y requisitos de software cambiantes. Las historias de usuario, las especificaciones que definen los requisitos del software, son la única documentación requerida. Sin embargo, las prácticas inherentes a este proceso, como los cambios constantes en el código, limitan la capacidad de realizar revisiones de garantía de seguridad.

«La idea básica de abordar esta desconexión entre las políticas de seguridad y el desarrollo ágil de software surgió de una conversación casual con los líderes de software de la industria», dijo Krishnan. «Pudimos reunir un equipo de profesores y estudiantes con experiencia en ciberseguridad, ingeniería de software y aprendizaje automático para comenzar a investigar este problema y desarrollar una solución práctica».

Los investigadores analizaron diferentes enfoques de aprendizaje automático antes de decidirse por un enfoque de aprendizaje profundo, que puede manejar varios formatos de historias de usuarios. El modelo consta de tres piezas para realizar la predicción: clasificaciones de control de acceso, reconocimiento de entidades nombradas y clasificación de tipos de acceso. La clasificación de control de acceso ayuda al software a decidir si las historias de usuario contienen información de control de acceso. La entidad con nombre identifica a los actores y objetos de datos en la historia. La clasificación del tipo de acceso determina la relación entre los dos.

El equipo tomó un conjunto de datos de 21 aplicaciones web, cada una de las cuales constaba de 50 a 130 historias de usuarios, o 1600 en total, para probar su enfoque.

«Con un conjunto de datos de 1600 historias de usuarios, desarrollamos un modelo de aprendizaje basado en transformadores, una poderosa técnica de aprendizaje automático», dijo Krishnan. «Pudimos extraer políticas de seguridad con buena precisión y visualizar los resultados para ayudar a las partes interesadas a refinar mejor las historias de los usuarios y mantener una visión general del control de acceso del sistema».

Este nuevo enfoque innovador servirá como una herramienta valiosa en el ciclo de vida moderno y ágil del desarrollo de software, dijo Krishnan.

«Dado que el desarrollo de software ágil se centra en cambios incrementales en el código, un proceso manual de extracción de políticas de seguridad sería propenso a errores y engorroso», agregó. «Esta es otra área donde el aprendizaje automático/inteligencia artificial muestra ser un enfoque poderoso».

Krishnan dijo que el equipo todavía tiene varias direcciones en las que les gustaría tomar el proyecto.

«Reconocemos que hay poca información adicional sobre el control de acceso que se pueda extraer o determinar directamente de las historias de los usuarios en un enfoque totalmente automatizado», dijo Krishnan. «Eso significa que es difícil, o imposible, determinar el control de acceso exacto de un software a partir de las historias de los usuarios sin la participación humana. Planeamos ampliar nuestro enfoque para hacerlo interactivo con las partes interesadas para que puedan ayudar a refinar la información de control de acceso».