ProvAgent: Threat Detection Based on Identity-Behavior Binding and Multi-Agent Collaborative Attack Investigation

ProvAgent è un framework innovativo che supera i limiti della collaborazione uomo-modello nella rilevazione delle minacce APT, integrando screening iniziale, profilazione basata su coerenza identità-comportamento e indagine autonoma tramite agenti multipli per ricostruire processi di attacco complessi con alta precisione e costi ridotti.

L'essenziale

Immagina di essere il guardiano di un enorme castello digitale (la tua azienda o il tuo sistema informatico). Ogni giorno, milioni di persone entrano ed escono, aprono porte, spostano mobili e accendono luci. Il tuo compito è capire se c'è un ladro che sta cercando di rubare i tesori o se è solo il personale che sta facendo il suo lavoro quotidiano.

Il problema è che i ladri moderni (chiamati APT, o minacce persistenti avanzate) sono maestri del camuffamento. Non rompono la porta a calci; entrano silenziosamente, si vestono come i dipendenti e fanno cose che sembrano normali, ma con un intento malvagio.

Ecco come ProvAgent risolve questo problema, spiegato in modo semplice:

1. Il Problema: Troppi Allarmi Falsi e Troppa Fatica

Fino a oggi, i sistemi di sicurezza funzionavano in due modi, entrambi imperfetti:

• I "Cacciatori di Regole": Cercavano schemi noti. Se un ladro usava un trucco nuovo, non lo vedevano.
• I "Cacciatori di Anomalie": Guardavano tutto ciò che era strano. Il problema? Se un dipendente fa una cosa insolita (come un amministratore che riavvia il server alle 3 di notte), il sistema urla "LADRO!", anche se è tutto normale. Questo crea un mare di falsi allarmi. Gli analisti umani, stanchi di controllare ogni singolo allarme, finiscono per ignorarli tutti (la famosa "fatigue da allarme").

2. La Soluzione: ProvAgent (L'Investigatore Intelligente)

ProvAgent è come un nuovo tipo di squadra di sicurezza che combina la velocità di un robot con l'intuito di un detective esperto. Funziona in due fasi principali:

Fase 1: Il Filtro Intelligente (EPD)

Immagina di avere un guardiano che conosce perfettamente ogni singolo dipendente.

• Invece di guardare solo cosa fa una persona, guarda chi è.
• L'analogia: Se vedi un camionista che guida un camion, è normale. Se vedi un camionista che improvvisamente inizia a cucinare pasta in cucina, è strano. Ma se vedi un cuoco che cucina pasta, è normale, anche se il camionista lo farebbe male.
• ProvAgent crea un "profilo" per ogni entità (processi, file, connessioni). Impara che il processo "nginx" (un server web) dovrebbe comportarsi come un server web. Se "nginx" inizia a comportarsi come un programma di ricerca file (come se il cuoco improvvisamente iniziasse a guidare il camion), il sistema lo segnala.
• Risultato: Invece di generare milioni di allarmi, ne genera solo pochi, ma altamente affidabili.

Fase 2: La Squadra di Investigatori (MAI)

Una volta che il guardiano ha trovato un sospetto, entra in gioco la seconda parte: una squadra di agenti AI che lavorano insieme come un team di detective umani, ma senza stancarsi mai.

• L'Analista: Controlla il sospetto. "È davvero un ladro o è solo un dipendente che fa un lavoro insolito?" Confronta il comportamento con una libreria di comportamenti normali.
• L'Investigatore: Se c'è un sospetto, inizia a scavare. "Chi ha chiamato questo file? Cosa ha fatto dopo? Chi ha contattato?" Ricostruisce la catena di eventi.
• Il Leader: È il capitano. Guarda il quadro generale. "Abbiamo un furto di dati, ma manca il passaggio in cui hanno rubato le chiavi. Forse è successo qui?" Fa ipotesi e chiede agli altri di verificarle.
• Il Reporter: Scrive il rapporto finale in linguaggio chiaro per gli umani.

La magia: Questi agenti lavorano in un ciclo continuo. Se un'ipotesi sembra sbagliata, la smontano. Se manca un pezzo del puzzle, lo cercano attivamente. Non si limitano a guardare; investigano.

3. Perché è così speciale?

• Non si fida ciecamente: A differenza dei vecchi sistemi che dicevano "è strano, quindi è un attacco", ProvAgent dice "è strano per questo specifico processo, quindi controlliamo".
• Ricostruisce la storia: Non ti dice solo "c'è stato un attacco". Ti racconta la storia completa: "Il ladro è entrato alle 10:00, ha rubato le chiavi alle 10:15, è scappato alle 10:30".
• Costa pochissimo: Il sistema è così efficiente che costa circa 6 centesimi al giorno per analizzare i dati di un'intera azienda. È come pagare un caffè al mese per avere un esercito di detective digitali.

In Sintesi

ProvAgent è come avere un detective privato super-intelligente che non si stanca mai, che conosce ogni singolo dipendente del tuo castello e che, invece di urlare "LADRO!" per ogni movimento strano, ti porta solo i casi reali, ricostruendo l'intera storia del crimine per aiutarti a capire cosa è successo e come fermarlo.

Ha superato tutti i sistemi precedenti nei test, trovando più ladri veri e ignorando più falsi allarmi, tutto questo mentre il sistema dorme.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper ProvAgent: Threat Detection Based on Identity-Behavior Binding and Multi-Agent Collaborative Attack Investigation, presentato in italiano.

1. Il Problema: Limiti delle attuali difese APT

Le Minacce Persistenti Avanzate (APT) rappresentano una sfida critica per la cybersecurity moderna a causa della loro natura multi-fase e furtiva. Il paper identifica due paradossi fondamentali nelle pratiche attuali di rilevamento basato sulla provenance (tracciamento delle origini):

1. Scetticismo degli esperti: Gli analisti umani dubitano della capacità dei modelli tradizionali di identificare attacchi complessi, portando a una mancanza di fiducia nei risultati automatizzati.
2. Dipendenza dagli esperti: Gli analisti non possono processare manualmente i grandi volumi di log grezzi per validare gli alert, rendendo la collaborazione uomo-modello l'unico paradigma praticabile, ma inefficiente.

Le soluzioni esistenti soffrono di due gravi carenze:

• Falsi Positivi Elevati (Alert Noise): I metodi basati su GNN (Graph Neural Networks) tradizionali spesso ignorano la coerenza tra l'identità di un'entità (es. nome del processo, percorso del file) e il suo comportamento. Questo porta a confondere operazioni amministrative legittime con attacchi, generando un rumore di fondo che causa "affaticamento da alert" (alert fatigue).
• Indagini Superficiali: Anche quando vengono rilevati i punti critici, i sistemi attuali (inclusi quelli basati su LLM come advisor) non riescono a condurre indagini autonome profonde. Spesso agiscono come semplici classificatori o advisor passivi, limitati a sotto-grafi locali, senza la capacità di ricostruire narrazioni di attacco globali o di verificare ipotesi in modo iterativo.

2. Metodologia: L'architettura ProvAgent

ProvAgent propone un nuovo paradigma che evolve la collaborazione da "Uomo-Modello" a "Sistema Multi-Agente-Modello Tradizionale". L'architettura si compone di due moduli sinergici:

A. Rilevamento basato sul Profilo dell'Entità (EPD - Entity-Profile-based Detection)

Questo modulo funge da filtro iniziale ad alta efficienza per scansionare grandi volumi di log e generare alert ad alta fedeltà.

• Binding Identità-Comportamento: A differenza dei metodi precedenti che usano categorie grossolane, EPD utilizza l'Apprendimento Contrastivo su Grafi (Graph Contrastive Learning) per vincolare finemente l'identità di un'entità (es. nginx come processo web) al suo comportamento atteso.
• Profilazione: Il sistema apprende profili comportamentali basati su attributi specifici (nome processo, percorso file, porta socket) durante una fase di addestramento su dati benigni.
• Rilevamento delle Anomalie: Un'anomalia viene rilevata quando il comportamento osservato di un'entità non è coerente con il profilo della sua identità dichiarata (es. un processo chiamato nginx che esegue operazioni tipiche di find o cat). Questo riduce drasticamente i falsi positivi rispetto ai metodi basati solo sulla topologia del grafo.

B. Investigazione Multi-Agente (MAI - Multi-Agent Investigation)

Questo modulo utilizza un framework di agenti LLM (Large Language Models) per condurre indagini autonome, trasformando gli alert EPD in narrazioni di attacco complete.

• Architettura Collaborativa: Il sistema coordina quattro agenti specializzati:
  1. Analyst: Agisce come guardiano, validando gli alert confrontandoli con comportamenti benigni di riferimento per filtrare i falsi positivi.
  2. Investigator: Esplora il grafo di provenance attorno agli IOC (Indicatori di Compromissione) validati per scoprire nuovi indizi e ricostruire le operazioni atomiche.
  3. Leader: Coordina l'indagine a livello strategico, formulando ipotesi su fasi di attacco mancanti o incoerenze nella catena di kill chain, e guida il ciclo di verifica.
  4. Reporter: Sintetizza i risultati in report comprensibili per gli analisti umani.
• Ciclo Ipotesi-Verifica: Il sistema opera in un ciclo chiuso. Il Leader genera ipotesi (es. "mancano passaggi di raccolta credenziali"), che vengono poi verificate dagli altri agenti attraverso la ricerca di evidenze nel database di provenance. Questo processo iterativo permette di correggere errori, eliminare falsi positivi e scoprire attacchi inizialmente persi.

3. Contributi Chiave

1. Framework Sinergico: Unisce l'efficienza e il basso costo dei modelli tradizionali per la generazione di alert con le capacità di ragionamento profondo degli agenti multi-LLM.
2. EPD (Rilevamento basato su Profilo): Introduce un metodo di rilevamento che vincola identità e comportamento tramite apprendimento contrastivo, generando alert ad alta fedeltà con minimi falsi positivi.
3. MAI (Investigazione Multi-Agente): Un sistema autonomo che simula la collaborazione umana, capace di iterare tra ipotesi e verifiche, eliminando i falsi positivi e scoprendo attacchi mancati (missed detections).
4. Validazione su Dati Reali: Valutazione completa su dataset reali (DARPA E3, E5, OpTC) che dimostra la superiorità rispetto agli stati dell'arte (SOTA).

4. Risultati Sperimentali

Le valutazioni sono state condotte su dataset pubblici di riferimento (DARPA E3, E5 e OpTC) confrontando ProvAgent con sei metodi SOTA (inclusi Kairos, Flash, Orthrus, OCR-APT).

• Rilevamento delle Anomalie: ProvAgent supera tutti i baseline nel bilanciamento tra True Positives (TP) e False Positives (FP). Mentre metodi come Orthrus hanno un tasso di rilevamento quasi nullo (per eccessiva cautela) e altri come Threatrace o MAGIC generano migliaia di falsi positivi, ProvAgent identifica gli attacchi critici mantenendo un numero di falsi positivi gestibile.
• Investigazione e Ricostruzione:
  • ProvAgent ricostruisce narrazioni di attacco quasi complete, coprendo la maggior parte delle fasi della kill chain (IC, C&C, PE, LM, ecc.).
  • A differenza di OCR-APT che riduce il numero di IOC dopo l'indagine (rimuovendo solo falsi positivi), ProvAgent aumenta il numero di IOC rilevati del 160.7% rispetto agli alert iniziali, scoprendo fasi di attacco precedentemente mancate.
• Efficienza e Costo: Il sistema è estremamente economico. L'investigazione automatizzata costa un minimo di $0.06 al giorno e richiede in media meno di 0.25 ore per elaborare il carico di lavoro giornaliero.
• Robustezza: ProvAgent dimostra resistenza agli attacchi di mimetizzazione (mimicry attacks), dove gli avversari tentano di alterare i dati per sembrare benigni, grazie al vincolo stretto tra identità e comportamento appreso.

5. Significato e Impatto

Il lavoro di ProvAgent rappresenta un passo avanti significativo nell'automazione della cybersecurity:

• Superamento dell'Affaticamento da Alert: Riducendo drasticamente i falsi positivi e automatizzando l'indagine profonda, libera gli analisti umani dal compito di validare manualmente migliaia di alert irrilevanti.
• Investigazione Autonoma: Dimostra che gli LLM possono essere utilizzati non solo come classificatori passivi, ma come investigatori attivi con autorità decisionale, capaci di ragionare causalmente su grandi volumi di dati di provenance.
• Scalabilità Economica: La combinazione di un modello di rilevamento efficiente (GNN) e di un'indagine mirata guidata da agenti rende la difesa APT automatizzata economicamente sostenibile anche per grandi organizzazioni.

In sintesi, ProvAgent risolve il paradosso attuale della sicurezza informatica creando un sistema che non si limita a "trovare" anomalie, ma le "investiga" autonomamente, fornendo agli umani solo conclusioni verificate e narrazioni di attacco complete.