論文の概要: Understanding Hackers' Work: An Empirical Study of Offensive Security Practitioners

• arxiv url: http://arxiv.org/abs/2308.07057v3
• Date: Wed, 23 Aug 2023 11:24:20 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 14:21:04.177838
• Title: Understanding Hackers' Work: An Empirical Study of Offensive Security Practitioners
• Title（参考訳）: ハッカーの仕事を理解する: 攻撃的セキュリティ実践者の実証的研究
• Authors: Andreas Happe, J\"urgen Cito
• Abstract要約: 攻撃的なセキュリティテストは、潜在的な脆弱性を積極的に発見する一般的な方法である。 ホワイトハットハッカーの慢性的な欠如は、ソフトウェアの十分なセキュリティテストカバレッジを妨げている。 自動化の研究は、セキュリティテストの効率を改善することによって、この問題を緩和しようとする。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Offensive security-tests are a common way to pro-actively discover potential vulnerabilities. They are performed by specialists, often called penetration-testers or white-hat hackers. The chronic lack of available white-hat hackers prevents sufficient security test coverage of software. Research into automation tries to alleviate this problem by improving the efficiency of security testing. To achieve this, researchers and tool builders need a solid understanding of how hackers work, their assumptions, and pain points. In this paper, we present a first data-driven exploratory qualitative study of twelve security professionals, their work and problems occurring therein. We perform a thematic analysis to gain insights into the execution of security assignments, hackers' thought processes and encountered challenges. This analysis allows us to conclude with recommendations for researchers and tool builders to increase the efficiency of their automation and identify novel areas for research.
• Abstract（参考訳）: 攻撃的なセキュリティテストは、潜在的な脆弱性を積極的に発見する一般的な方法です。 これらはスペシャリストによって実行され、しばしば侵入テストまたはホワイトハットハッカーと呼ばれる。 ホワイトハットハッカーの慢性的な不足は、ソフトウェアの十分なセキュリティテストカバレッジを妨げる。 自動化の研究は、セキュリティテストの効率を改善することによってこの問題を緩和しようとする。 これを実現するには、研究者とツールビルダーはハッカーの働き方、仮定、痛点をしっかり理解する必要がある。 本稿では,セキュリティ専門家12人のデータ駆動探索的質的研究を行い,その成果と問題点について述べる。 我々は,セキュリティ課題の実行,ハッカーの思考プロセス,課題に対する洞察を得るために,テーマ分析を実施している。 この分析により、研究者やツールビルダーが自動化の効率を向上し、新しい研究領域を特定するための推奨事項をまとめることができる。

関連論文リスト

• Towards Automated Penetration Testing: Introducing LLM Benchmark, Analysis, and Improvements [1.4433703131122861]
  大規模言語モデル(LLM)は、サイバーセキュリティなど、さまざまな分野に可能性を示している。 現在、包括的で、オープンで、エンドツーエンドの自動浸透テストベンチマークはありません。 本稿では,LLMを用いた自動貫入試験のための新しいオープンベンチマークを提案する。
  論文  参考訳（メタデータ） (2024-10-22T16:18:41Z)
• Hacking, The Lazy Way: LLM Augmented Pentesting [0.0]
  Pentest Copilot"というツールを使って"LLM Augmented Pentesting"をデモする 私たちの研究には、トークン使用の合理化とパフォーマンス向上のための"思考の連鎖"メカニズムが含まれています。 LLMがファイルの理解を可能にする新しいファイル解析手法を提案する。
  論文  参考訳（メタデータ） (2024-09-14T17:40:35Z)
• A Qualitative Study on Using ChatGPT for Software Security: Perception vs. Practicality [1.7624347338410744]
  ChatGPTは大きな言語モデル(LLM)であり、目覚ましい意味理解と精度で様々なタスクを実行できる。 本研究は,ソフトウェアセキュリティを支える新技術としてChatGPTの可能性を理解することを目的としている。 セキュリティ実践者は、ChatGPTを脆弱性検出、情報検索、侵入テストなど、さまざまなソフトウェアセキュリティタスクに有用であると判断した。
  論文  参考訳（メタデータ） (2024-08-01T10:14:05Z)
• Towards more Practical Threat Models in Artificial Intelligence Security [66.67624011455423]
  最近の研究で、人工知能のセキュリティの研究と実践のギャップが特定されている。 我々は、AIセキュリティ研究で最も研究されている6つの攻撃の脅威モデルを再検討し、実際にAIの使用と一致させる。
  論文  参考訳（メタデータ） (2023-11-16T16:09:44Z)
• Graph Mining for Cybersecurity: A Survey [61.505995908021525]
  マルウェア、スパム、侵入などのサイバー攻撃の爆発的な増加は、社会に深刻な影響をもたらした。 従来の機械学習(ML)ベースの手法は、サイバー脅威の検出に広く用いられているが、現実のサイバーエンティティ間の相関をモデル化することはほとんどない。 グラフマイニング技術の普及に伴い、サイバーエンティティ間の相関を捉え、高いパフォーマンスを達成するために、多くの研究者がこれらの手法を調査した。
  論文  参考訳（メタデータ） (2023-04-02T08:43:03Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• Semantic Similarity-Based Clustering of Findings From Security Testing Tools [1.6058099298620423]
  特に、複数の観点からソフトウェアアーチファクトを検査した後、レポートを生成する自動セキュリティテストツールを使用するのが一般的である。 これらの重複した発見を手動で識別するには、セキュリティ専門家は時間、努力、知識といったリソースを投資する必要がある。 本研究では,意味論的に類似したセキュリティ発見のクラスタリングに自然言語処理を適用する可能性について検討した。
  論文  参考訳（メタデータ） (2022-11-20T19:03:19Z)
• Why Should Adversarial Perturbations be Imperceptible? Rethink the Research Paradigm in Adversarial NLP [83.66405397421907]
  セキュリティシナリオにおけるテキスト敵検体の研究パラダイムを再考する。 最初に、セキュリティデータセットコレクションのAdvbenchを収集し、処理し、リリースします。 次に,現実の攻撃手法をシミュレートするために,現実の敵目標を容易に達成できるルールに基づく簡単な手法を提案する。
  論文  参考訳（メタデータ） (2022-10-19T15:53:36Z)
• A Smart and Defensive Human-Machine Approach to Code Analysis [0.0]
  本稿では,仮想アシスタントを用いてプログラマと協調して,ソフトウェアが可能な限り安全であることを保証する手法を提案する。 プロポーズ方式では、様々なメトリクスを使って、プログラマがプロジェクトに適したコード分析ツールを選択するのを助けるレコメンデータシステムを採用している。
  論文  参考訳（メタデータ） (2021-08-06T20:42:07Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• Adversarial Machine Learning Attacks and Defense Methods in the Cyber Security Domain [58.30296637276011]
  本稿では,機械学習技術に基づくセキュリティソリューションに対する敵攻撃に関する最新の研究を要約する。 サイバーセキュリティドメインでエンドツーエンドの敵攻撃を実装するという、ユニークな課題を議論するのは、これが初めてである。
  論文  参考訳（メタデータ） (2020-07-05T18:22:40Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。