In [1]:
import os
from dotenv import load_dotenv
from langchain_openai import ChatOpenAI

In [2]:
import os
from dotenv import load_dotenv

# Carregar variáveis de ambiente do arquivo .env
load_dotenv()

api_key = os.getenv('OPENAI_API_KEY')

if api_key is None:
    raise ValueError("API key not found. Please set the OPENAI_API_KEY environment variable.")
else:
    print("API key loaded successfully.")

API key loaded successfully.


In [4]:
chat = ChatOpenAI(
    api_key=api_key,
    model="gpt-4o-mini",
    max_completion_tokens=10000,
)

In [5]:
from langchain.schema import SystemMessage, HumanMessage, AIMessage

messages = [
    SystemMessage(content="Você é um assistente especializado em segurança cibernética, com foco em análises do OpenVAS. "
                          "Sua função é ajudar a interpretar relatórios, identificar vulnerabilidades e recomendar ações de mitigação."),
    HumanMessage(content="Quais são as vulnerabilidades críticas mais comuns encontradas nos relatórios do OpenVAS?"),
    AIMessage(content="As vulnerabilidades críticas mais comuns incluem falta de patches em sistemas, autenticação fraca, "
                      "exposição de serviços desnecessários, e uso de softwares desatualizados. Você pode mitigá-las "
                      "mantendo os sistemas atualizados, implementando autenticação forte e desativando serviços desnecessários."),
    HumanMessage(content="Como posso priorizar as ações de mitigação?"),
]

In [6]:
res = chat.invoke(messages)

In [7]:
res

AIMessage(content='Priorizar ações de mitigação pode ser feito seguindo algumas etapas:\n\n1. **Classificação de Vulnerabilidades**:\n   - Utilize a pontuação CVSS (Common Vulnerability Scoring System) fornecida pelo OpenVAS. Vulnerabilidades com pontuação mais alta devem ser tratadas primeiro.\n\n2. **Impacto nos Negócios**:\n   - Avalie o impacto que cada vulnerabilidade pode ter nos ativos críticos da sua organização. Vulnerabilidades que afetam sistemas críticos ou dados sensíveis devem ter prioridade.\n\n3. **Exposição**:\n   - Considere a exposição das vulnerabilidades. Vulnerabilidades em sistemas acessíveis diretamente pela internet devem ser priorizadas em relação às que estão em redes internas.\n\n4. **Facilidade de Exploração**:\n   - Analise a facilidade de exploração da vulnerabilidade. Vulnerabilidades que podem ser exploradas facilmente devem ser tratadas com urgência.\n\n5. **Conformidade e Regulamentações**:\n   - Verifique se há alguma regulamentação que exija correçã

In [8]:
print(res.content)

Priorizar ações de mitigação pode ser feito seguindo algumas etapas:

1. **Classificação de Vulnerabilidades**:
   - Utilize a pontuação CVSS (Common Vulnerability Scoring System) fornecida pelo OpenVAS. Vulnerabilidades com pontuação mais alta devem ser tratadas primeiro.

2. **Impacto nos Negócios**:
   - Avalie o impacto que cada vulnerabilidade pode ter nos ativos críticos da sua organização. Vulnerabilidades que afetam sistemas críticos ou dados sensíveis devem ter prioridade.

3. **Exposição**:
   - Considere a exposição das vulnerabilidades. Vulnerabilidades em sistemas acessíveis diretamente pela internet devem ser priorizadas em relação às que estão em redes internas.

4. **Facilidade de Exploração**:
   - Analise a facilidade de exploração da vulnerabilidade. Vulnerabilidades que podem ser exploradas facilmente devem ser tratadas com urgência.

5. **Conformidade e Regulamentações**:
   - Verifique se há alguma regulamentação que exija correção de vulnerabilidades específicas.

In [9]:
messages.append(res)

In [10]:
messages

[SystemMessage(content='Você é um assistente especializado em segurança cibernética, com foco em análises do OpenVAS. Sua função é ajudar a interpretar relatórios, identificar vulnerabilidades e recomendar ações de mitigação.', additional_kwargs={}, response_metadata={}),
 HumanMessage(content='Quais são as vulnerabilidades críticas mais comuns encontradas nos relatórios do OpenVAS?', additional_kwargs={}, response_metadata={}),
 AIMessage(content='As vulnerabilidades críticas mais comuns incluem falta de patches em sistemas, autenticação fraca, exposição de serviços desnecessários, e uso de softwares desatualizados. Você pode mitigá-las mantendo os sistemas atualizados, implementando autenticação forte e desativando serviços desnecessários.', additional_kwargs={}, response_metadata={}),
 HumanMessage(content='Como posso priorizar as ações de mitigação?', additional_kwargs={}, response_metadata={}),
 AIMessage(content='Priorizar ações de mitigação pode ser feito seguindo algumas etapas

In [11]:
prompt = HumanMessage(content="Você poderia me explicar como funciona o OpenVAS?")
messages.append(prompt)

In [12]:
res = chat.invoke(messages)
print(res.content)

Claro! O OpenVAS (Open Vulnerability Assessment System) é uma ferramenta de gerenciamento de vulnerabilidades que ajuda a identificar e avaliar falhas de segurança em sistemas, redes e aplicações. Aqui estão os principais componentes e como ele funciona:

### Componentes do OpenVAS

1. **OpenVAS Scanner**:
   - É o componente responsável por realizar a varredura nos sistemas. Ele executa uma série de testes em busca de vulnerabilidades conhecidas.

2. **OpenVAS Manager**:
   - Este componente gerencia as configurações, os resultados das varreduras e as tarefas programadas. Ele também comunica com o scanner para coletar e processar os dados.

3. **Greenbone Security Assistant (GSA)**:
   - É a interface web que permite aos usuários interagir com o OpenVAS. Através dela, é possível iniciar varreduras, visualizar resultados e gerar relatórios.

4. **Feed de Dados**:
   - O OpenVAS utiliza feeds de dados chamados de "Network Vulnerability Tests" (NVTs), que são scripts que contêm as defini

In [13]:
import pandas as pd
df = pd.read_csv('data/miniopenvas.csv')


In [14]:
context = [
    "Aqui está um exemplo de relatório do OpenVAS:",
    df.to_string(index=False),
    "Quero que você me ajude a interpretar este relatório e identificar as vulnerabilidades críticas."
]

source_knowledge = "\n".join(context)

In [15]:
query = "Quero que me ajude a interpretar este relatório e identificar as vulnerabilidades mais críticas e sugerir a priorizar a mitigação das vulnerabilidades mais critivas."

augmented_prompt = f"""
    Use o contexto abaixo para responder à seguinte pergunta:

    Contexto: {source_knowledge}

    Pergunta: {query}

    Boa prática: não forneça o endereço IP ou nome do host do sistema nas respostas
"""

In [16]:
prompt = HumanMessage(content=augmented_prompt)

messages.append(prompt)

res = chat.invoke(messages, )
print(res.content)

Vamos analisar o trecho do relatório do OpenVAS que você forneceu. Aqui estão os principais elementos e a interpretação das informações apresentadas:

### Interpretação do Relatório

1. **IP e Hostname**: O relatório indica um host específico, mas por questões de segurança, não vamos mencionar o endereço IP ou o nome do host.

2. **Port e Port Protocol**: Não há informações sobre portas ou protocolos no caso apresentado (NaN), o que pode indicar que a vulnerabilidade não está associada a um serviço específico.

3. **CVSS Severity**: A pontuação CVSS é 2.1, classificada como "Low". Isso significa que a vulnerabilidade não é considerada crítica, mas ainda assim deve ser tratada.

4. **Solution Type**: A solução recomendada é "Mitigation", o que sugere que a vulnerabilidade pode ser mitigada em vez de completamente eliminada.

5. **NVT Name**: O nome do teste de vulnerabilidade (NVT) é "ICMP Timestamp Reply Information Disclosure". Isso indica que a vulnerabilidade envolve a resposta a um

Embeddings

In [17]:
data = pd.read_csv('data/openvas.csv')

In [18]:
from langchain_openai import OpenAIEmbeddings
embed_model = OpenAIEmbeddings(model="text-embedding-3-small")

In [19]:
texts = [
    'this is a test',
    'this is another test',
]

res = embed_model.embed_documents(texts)
len(res), len(res[0])


(2, 1536)

In [20]:
docs = data[[
    'Port', 'Port Protocol', 'CVSS', 'Severity', 'QoD', 'Solution Type', 'NVT Name', 'Summary', 'Specific Result', 'NVT OID',
    'CVEs', 'Impact', 'Solution', 'Affected Software/OS', 'Vulnerability Insight', 'Vulnerability Detection Method', 'Product Detection Result',
    ]]
docs.head()

Unnamed: 0,Port,Port Protocol,CVSS,Severity,QoD,Solution Type,NVT Name,Summary,Specific Result,NVT OID,CVEs,Impact,Solution,Affected Software/OS,Vulnerability Insight,Vulnerability Detection Method,Product Detection Result
0,623.0,udp,10.0,High,99,VendorFix,IPMI Cipher Zero Authentication Bypass Vulnera...,Intelligent Platform Management Interface (IPM...,The remote IPMI service accepted a session ope...,1.3.6.1.4.1.25623.1.0.103840,,Attackers can exploit this issue to gain admin...,Ask the Vendor for an update.,,The remote IPMI service accepted a session ope...,Sends a request with a zero cipher and checks ...,
1,623.0,udp,10.0,High,99,VendorFix,IPMI Cipher Zero Authentication Bypass Vulnera...,Intelligent Platform Management Interface (IPM...,The remote IPMI service accepted a session ope...,1.3.6.1.4.1.25623.1.0.103840,,Attackers can exploit this issue to gain admin...,Ask the Vendor for an update.,,The remote IPMI service accepted a session ope...,Sends a request with a zero cipher and checks ...,
2,,,10.0,High,80,Mitigation,Operating System (OS) End of Life (EOL) Detection,The Operating System (OS) on the remote host h...,"The ""Ubuntu"" Operating System on the remote ho...",1.3.6.1.4.1.25623.1.0.103674,,An EOL version of an OS is not receiving any s...,Upgrade the OS on the remote host to a version...,,,Checks if an EOL version of an OS is present o...,Product: cpe:/o:canonical:ubuntu_linux:12.04\n...
3,,,10.0,High,80,Mitigation,Operating System (OS) End of Life (EOL) Detection,The Operating System (OS) on the remote host h...,"The ""Ubuntu"" Operating System on the remote ho...",1.3.6.1.4.1.25623.1.0.103674,,An EOL version of an OS is not receiving any s...,Upgrade the OS on the remote host to a version...,,,Checks if an EOL version of an OS is present o...,Product: cpe:/o:canonical:ubuntu_linux:12.04\n...
4,623.0,udp,10.0,High,80,Workaround,IPMI No Auth Access Mode Enabled (IPMI Protocol),The remote Intelligent Platform Management Int...,The remote IPMI service has the 'No Auth' acce...,1.3.6.1.4.1.25623.1.0.103837,,,Disable the 'No Auth' access mode. Please cont...,,,Evaluates information gathered by the VT 'Inte...,


In [21]:
from langchain_community.document_loaders import DataFrameLoader

loader = DataFrameLoader(docs, page_content_column='Summary')
documents = loader.load()

In [22]:
documents[99]

Document(metadata={'Port': 22.0, 'Port Protocol': 'tcp', 'CVSS': 5.3, 'Severity': 'Medium', 'QoD': 80, 'Solution Type': 'Mitigation', 'NVT Name': 'Weak Key Exchange (KEX) Algorithm(s) Supported (SSH)', 'Specific Result': 'The remote SSH server supports the following weak KEX algorithm(s):\n\nKEX algorithm                      | Reason\n-------------------------------------------------------------------------------------------\ndiffie-hellman-group-exchange-sha1 | Using SHA-1\ndiffie-hellman-group1-sha1         | Using Oakley Group 2 (a 1024-bit MODP group) and SHA-1\n', 'NVT OID': '1.3.6.1.4.1.25623.1.0.150713', 'CVEs': nan, 'Impact': 'An attacker can quickly break individual connections.', 'Solution': 'Disable the reported weak KEX algorithm(s)\n\n  - 1024-bit MODP group / prime KEX algorithms:\n\n  Alternatively use elliptic-curve Diffie-Hellmann in general, e.g. Curve 25519.', 'Affected Software/OS': nan, 'Vulnerability Insight': '- 1024-bit MODP group / prime KEX algorithms:\n\n  M

In [23]:
documents[99].page_content

'The remote SSH server is configured to allow / support weak key\n  exchange (KEX) algorithm(s).'

In [26]:
documents[999].metadata

{'Port': 443.0,
 'Port Protocol': 'tcp',
 'CVSS': 0.0,
 'Severity': 'Log',
 'QoD': 98,
 'Solution Type': nan,
 'NVT Name': 'SSL/TLS: Report Medium Cipher Suites',
 'Specific Result': "Medium' cipher suites accepted by this service via the TLSv1.2 protocol:\n\nTLS_DHE_RSA_WITH_AES_128_GCM_SHA256\nTLS_DHE_RSA_WITH_AES_256_GCM_SHA384\nTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256\nTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384\n\n'Medium' cipher suites accepted by this service via the TLSv1.3 protocol:\n\nTLS_AES_128_GCM_SHA256\n\n\n",
 'NVT OID': '1.3.6.1.4.1.25623.1.0.902816',
 'CVEs': nan,
 'Impact': nan,
 'Solution': nan,
 'Affected Software/OS': nan,
 'Vulnerability Insight': 'Any cipher suite considered to be secure for only the next 10\n  years is considered as medium.',
 'Vulnerability Detection Method': '\nDetails:\nSSL/TLS: Report Medium Cipher Suites\n(OID: 1.3.6.1.4.1.25623.1.0.902816)\nVersion used: 2021-12-01T13:10:37Z\n',
 'Product Detection Result': nan}

In [27]:
from langchain_community.vectorstores import Qdrant
from langchain_openai import OpenAIEmbeddings
embeddings = OpenAIEmbeddings(model="text-embedding-3-small")

qdrant = Qdrant.from_documents(
    documents = documents, 
    embedding = embeddings,
    location = ":memory:",
    collection_name = "chatbot"


)

In [32]:
query = "Quais são as principais vulnerabilidaes encontradas no relatório? E suas soluções?"

qdrant.similarity_search(query, k=100)


[Document(metadata={'Port': 8000.0, 'Port Protocol': 'tcp', 'CVSS': 7.8, 'Severity': 'High', 'QoD': 70, 'Solution Type': 'NoneAvailable', 'NVT Name': 'Squid Multiple 0-Day Vulnerabilities (Oct 2023)', 'Specific Result': 'Installed version: 3.1.19\nFixed version:     None\nInstallation\npath / port:       8000/tcp\n\n', 'NVT OID': '1.3.6.1.4.1.25623.1.0.100439', 'CVEs': nan, 'Impact': nan, 'Solution': 'No known solution is available as of 22th April, 2024.\n  Information regarding this issue will be updated once solution details are available.', 'Affected Software/OS': 'As of 10/2023 the situation about affected versions is\n  largely unclear (The security researcher only stated that all vulnerabilities were discovered\n  in squid-5.0.5 and the vendor only published a few advisories so far).\n\n  Due to this unclear situation all Squid versions are currently assumed to be vulnerable by the not\n  yet fixed flaws.', 'Vulnerability Insight': "The following flaws have been reported in 2021

In [34]:
def custom_prompt(query: str):
    results = qdrant.similarity_search(query, k=100)
    source_knowledge = "\n".join(x.page_content for x in results)
    augmented_prompt = f"""
        Use o contexto abaixo para responder à seguinte pergunta:

        Contexto: {source_knowledge}

        Pergunta: {query}

        Boa prática: não forneça o endereço IP ou nome do host do sistema nas respostas

        Seja claro nas respostas e forneça informações relevantes para ajudar o usuário a entender o conteúdo. Lembre-se de que o objetivo é ajudar a interpretar relatórios do OpenVAS e identificar vulnerabilidades críticas.

        Os usuários podem ter diferentes níveis de conhecimento em segurança cibernética, então tente explicar os conceitos de forma simples e objetiva.
    """
    return augmented_prompt

In [35]:
print(custom_prompt(query))


        Use o contexto abaixo para responder à seguinte pergunta:

        Contexto: Squid is prone to multiple zero-day (0-day) vulnerabilities.
Squid is prone to multiple zero-day (0-day) vulnerabilities.
Squid is prone to multiple zero-day (0-day) vulnerabilities.
Various Database server might be prone to an information
  disclosure vulnerability if accessible to remote systems.
Various Database server might be prone to an information
  disclosure vulnerability if accessible to remote systems.
Various Database server might be prone to an information
  disclosure vulnerability if accessible to remote systems.
The WordPress plugin 'WPML' is prone to multiple
  vulnerabilities.
Zabbix API and Frontend are prone to multiple SQL injection
  (SQLi) vulnerabilities.
Intelligent Platform Management Interface (IPMI) services are
  prone to an authentication bypass vulnerability.
Intelligent Platform Management Interface (IPMI) services are
  prone to an authentication bypass vulnerability.


In [36]:
prompt = HumanMessage(content=custom_prompt(query))

messages.append(prompt)

res = chat.invoke(messages)

print(res.content)

Baseado no contexto apresentado, aqui estão algumas das principais vulnerabilidades encontradas no relatório, juntamente com suas soluções recomendadas:

### 1. **Vulnerabilidades no Squid**
   - **Descrição**: O Squid está suscetível a múltiplas vulnerabilidades zero-day, o que significa que são falhas de segurança recém-descobertas que ainda não têm correção disponível.
   - **Solução**: Mantenha o Squid atualizado para a versão mais recente assim que patches forem disponibilizados. Monitore as publicações de segurança para o Squid e aplique as correções assim que forem liberadas.

### 2. **Vulnerabilidades em Servidores de Banco de Dados**
   - **Descrição**: Vários servidores de banco de dados podem estar sujeitos a uma vulnerabilidade de divulgação de informações, especialmente se acessíveis a sistemas remotos.
   - **Solução**: Restringir o acesso aos servidores de banco de dados, implementando firewalls e regras de acesso para limitar conexões apenas a hosts confiáveis.

### 3. 

In [37]:
teste = pd.read_csv('data/teste.csv')

In [38]:
prompt_teste = teste.to_string(index=False)

In [39]:
prompt = HumanMessage(content=f"""
    Use o contexto abaixo para responder à seguinte pergunta:
                         
    Contexto: {prompt_teste}

    Pergunta: Me ajude a resolver os problemas encontrados nesse relatório.
""")

messages.append(prompt)

res = chat.invoke(messages)

print(res.content)

O relatório indica uma vulnerabilidade de severidade média relacionada ao Apache HTTP Server. Especificamente, a URI `/server-status` está acessível e fornece informações sensíveis sobre a atividade e desempenho do servidor, o que pode ser explorado por um atacante.

### Problemas Identificados:
- **Acessibilidade da URI `/server-status`**: Esta página fornece informações sobre o servidor que podem ser usadas por um atacante para planejar um ataque.

### Soluções Recomendadas:
1. **Desativar o Acesso ao `/server-status`**:
   - Se a funcionalidade do `/server-status` não for necessária, o mais seguro é desabilitar o módulo `mod_status`. Para isso, você pode comentar a seção correspondente na configuração do Apache.
     - Localize o arquivo de configuração do Apache (geralmente `httpd.conf` ou em um arquivo de configuração de virtual host) e comente as linhas que habilitam o `mod_status`.

2. **Restringir o Acesso**:
   - Se você precisa do `/server-status` para monitoramento interno, 