Indietro

Security Summit Roma 2024

Sala Architettura | 19 giugno 2024 | 09:30 - 10:10

Migliorare la sicurezza API attraverso Modelli di Linguaggio di Grandi Dimensioni: un approccio innovativo per rilevare le vulnerabilità BOLA

19 giugno 2024 
Sala Architettura  11:30 - 12:10
Questa ricerca presenta una metodologia all'avanguardia per identificare le vulnerabilità di Autorizzazione a Livello di BOLA nelle API REST sfruttando la potenza dei Modelli di Linguaggio di Grandi Dimensioni (LLM). Interpretando le richieste API, inclusi i loro endpoint, parametri e valori, come sequenze di parole, elaboriamo una strategia in cui queste sequenze subiscono un'analisi utilizzando un modello categorico basato su LLM. Questa tecnica implica il perfezionamento del modello con modelli di progettazione sicuri come benchmark per le sequenze corrette, consentendo così il rilevamento di potenziali vulnerabilità tramite l'analisi delle risposte API.
Uno studio di caso sulle vulnerabilità BOLA dimostra l'efficacia del nostro modello nel differenziare tra accesso autorizzato e non autorizzato alle risorse nei contesti API REST. Concettualizzando le interazioni API come sequenze di input e output, il nostro approccio semplifica il processo di rilevamento delle vulnerabilità, introducendo così uno strumento innovativo per migliorare la sicurezza API. Questo studio non solo sottolinea la versatilità degli LLM nel regno della cybersecurity, ma offre anche un quadro tangibile per la loro applicazione nell'ambito del rilevamento delle vulnerabilità.
Affrontiamo, inoltre, la sfida fondamentale di implementare gli LLM senza servizi esterni (Model as a Service), preservando così la privacy dei dati. Esploriamo strategie per l'inferenza locale che rispettino le considerazioni sulla privacy, nonostante le sfide intrinseche agli output imprevedibili degli LLM e alle limitazioni sulle risorse. Questa ricerca fornisce spunti sia teorici che pratici sull'impiego degli LLM per scopi di cybersecurity