Wie KI-gestützte Bedrohungsintelligenz Sicherheitslücken behebt

Teams für Sicherheitsoperationen und Bedrohungsaufklärung sind chronisch unterbesetzt, mit Daten überlastet und mit konkurrierenden Anforderungen konfrontiert – alles Probleme, bei denen LLM-Systeme (Large Language Model) Abhilfe schaffen können. Doch mangelnde Erfahrung mit den Systemen hält viele Unternehmen davon ab, die Technologie einzuführen.

Organisationen, die LLMs implementieren, werden in der Lage sein, Informationen aus Rohdaten besser zu synthetisieren ihre Fähigkeiten im Bereich Threat-Intelligence vertiefen, aber solche Programme benötigen die Unterstützung der Sicherheitsführung, um richtig ausgerichtet zu sein. Teams sollten LLMs für lösbare Probleme implementieren, und bevor sie das tun können, müssen sie den Nutzen von LLMs in der Umgebung einer Organisation bewerten, sagt John Miller, Leiter der Intelligence-Analysegruppe von Mandiant.

„Unser Ziel ist es, Organisationen bei der Bewältigung der Unsicherheit zu helfen, denn es gibt noch nicht viele Erfolgsgeschichten oder Misserfolgsgeschichten“, sagt Miller. „Es gibt noch keine wirklichen Antworten, die auf routinemäßig verfügbaren Erfahrungen basieren, und wir möchten einen Rahmen bieten, um darüber nachzudenken, wie man sich am besten auf diese Art von Fragen zu den Auswirkungen einstellen kann.“

In einer Präsentation bei Schwarzer Hut USA Anfang August mit dem Titel „Wie sieht ein LLM-gestütztes Threat Intelligence-Programm aus?„Miller und Ron Graf, ein Datenwissenschaftler im Intelligence-Analytics-Team bei Mandiants Google Cloud, werden die Bereiche aufzeigen, in denen LLMs Sicherheitsmitarbeiter unterstützen können, um die Cybersicherheitsanalyse zu beschleunigen und zu vertiefen.

Drei Bestandteile der Bedrohungsintelligenz

Sicherheitsexperten, die eine starke Threat-Intelligence-Funktion für ihr Unternehmen aufbauen wollen, benötigen drei Komponenten, um erfolgreich eine interne Threat-Intelligence-Funktion aufzubauen, sagt Miller gegenüber Dark Reading. Sie benötigen Daten über die relevanten Bedrohungen; die Fähigkeit, diese Daten so zu verarbeiten und zu standardisieren, dass sie nützlich sind; und die Fähigkeit zu interpretieren, wie diese Daten mit Sicherheitsbedenken zusammenhängen.

Das ist leichter gesagt als getan, denn Threat-Intelligence-Teams – oder Personen, die für Threat-Intelligence verantwortlich sind – werden oft mit Daten oder Anfragen von Stakeholdern überhäuft. Allerdings können LLMs dazu beitragen, diese Lücke zu schließen, indem sie es anderen Gruppen in der Organisation ermöglichen, Daten mit Abfragen in natürlicher Sprache anzufordern und die Informationen in nichttechnischer Sprache zu erhalten, sagt er. Zu den häufigsten Fragen gehören Trends in bestimmten Bedrohungsbereichen wie Ransomware oder wenn Unternehmen mehr über Bedrohungen in bestimmten Märkten erfahren möchten.

„Führungskräfte, denen es gelingt, ihre Bedrohungsinformationen mit LLM-gesteuerten Funktionen zu erweitern, können im Grunde eine höhere Kapitalrendite aus ihrer Threat-Intelligence-Funktion einplanen“, sagt Miller. „Was eine Führungskraft erwarten kann, wenn sie nach vorne denkt, und was ihre aktuelle Geheimdienstfunktion leisten kann, ist, mit den gleichen Ressourcen höhere Fähigkeiten zu schaffen, um diese Fragen beantworten zu können.“

KI kann menschliche Analysten nicht ersetzen

Unternehmen, die LLMs und KI-gestützte Bedrohungsinformationen nutzen, werden besser in der Lage sein, Unternehmenssicherheitsdatensätze zu transformieren und zu nutzen, die sonst ungenutzt bleiben würden. Dennoch gibt es Fallstricke. Sich auf LLMs zu verlassen, um eine kohärente Bedrohungsanalyse zu erstellen, kann Zeit sparen, aber beispielsweise auch dazu führen mögliche „Halluzinationen“ – ein Mangel von LLMs Dabei stellt das System Verbindungen her, wo es keine gibt, oder erfindet Antworten vollständig, weil es auf falsche oder fehlende Daten trainiert wird.

„Wenn Sie sich auf die Ergebnisse eines Modells verlassen, um eine Entscheidung über die Sicherheit Ihres Unternehmens zu treffen, möchten Sie bestätigen können, dass sich jemand das Modell angesehen hat, und in der Lage sein, zu erkennen, ob es grundlegende Fehler gibt. “, sagt Miller von Google Cloud. „Sie müssen sicherstellen können, dass Sie über qualifizierte Experten verfügen, die für den Nutzen der Erkenntnisse bei der Beantwortung dieser Fragen oder bei der Entscheidungsfindung sprechen können.“

Solche Probleme seien nicht unüberwindbar, sagt Graf von Google Cloud. Organisationen könnten konkurrierende Modelle miteinander verketten, um im Wesentlichen Integritätsprüfungen durchzuführen und die Halluzinationsrate zu reduzieren. Darüber hinaus kann eine optimierte Fragestellung – das so genannte „Prompt Engineering“ – zu besseren oder zumindest möglichst realitätsnahen Antworten führen.

Laut Graf ist es jedoch der beste Weg, eine KI mit einem Menschen zu koppeln.

„Wir sind der Meinung, dass der beste Ansatz einfach darin besteht, die Menschen in den Kreislauf einzubeziehen“, sagt er. „Und das wird sowieso zu nachgelagerten Leistungsverbesserungen führen, sodass die Unternehmen immer noch von den Vorteilen profitieren.“

Dieser Erweiterungsansatz hat zunehmend an Bedeutung gewonnen Cybersicherheitsfirmen haben sich angeschlossen andere Unternehmen bei der Suche nach Möglichkeiten, ihre Kernkompetenzen mit großen LLMs zu transformieren. Im März beispielsweise Microsoft Security Copilot gestartet um Cybersicherheitsteams bei der Untersuchung von Verstößen und der Suche nach Bedrohungen zu unterstützen. Und im April stellte das Threat-Intelligence-Unternehmen Recorded Future eine LLM-erweiterte Funktion vor und stellte fest, dass die Fähigkeit des Systems, große Datenmengen oder tiefgreifende Suchvorgänge in einen einfachen, aus zwei oder drei Sätzen bestehenden zusammenfassenden Bericht für den Analysten umzuwandeln, eine erhebliche Zeitersparnis gebracht hat seine Sicherheitsexperten.

„Grundsätzlich ist Threat Intelligence meiner Meinung nach ein ‚Big Data‘-Problem, und man muss einen umfassenden Einblick in alle Ebenen des Angriffs haben – in Bezug auf den Angreifer, in die Infrastruktur und in die Personen, auf die er abzielt“, sagt Jamie Zajac, Vice President of Product bei Recorded Future, der sagt, dass KI es Menschen ermöglicht, in dieser Umgebung einfach effektiver zu sein. „Wenn man erst einmal alle diese Daten hat, steht man vor dem Problem: ‚Wie synthetisiert man das eigentlich in etwas Nützliches?‘, und wir haben herausgefunden, dass der Einsatz unserer Intelligenz und der Einsatz großer Sprachmodelle … begonnen hat, [unseren Analysten] Stunden und Stunden zu ersparen.“ Zeit."

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/black-hat/ai-augmented-threat-intelligence-solves-security-shortfalls