Kuinka tekoälyn lisätty uhkatieto ratkaisee tietoturvapuutteita

Kuinka tekoälyn lisätty uhkatieto ratkaisee tietoturvapuutteita

Aikaleima: 17. heinäkuuta 2023, 6
Kuinka tekoälyn lisätty uhkatietoratkaisu ratkaisee tietoturvapuutteita PlatoBlockchain-tietotiedon avulla. Pystysuuntainen haku. Ai.

Suojausoperaatioissa ja uhkien tiedustelutiimeissä on jatkuvasti vähän henkilöstöä, niillä on paljon tietoa ja ne käsittelevät kilpailevia vaatimuksia – kaikki ongelmat, joita LLM-järjestelmät voivat auttaa korjaamaan. Mutta kokemusten puute järjestelmistä estää monia yrityksiä ottamasta tekniikkaa käyttöön.

Organisaatiot, jotka toteuttavat LLM:itä, pystyvät paremmin syntetisoimaan älykkyyttä raakadatasta ja syventää uhkatiedustelukykyään, mutta tällaiset ohjelmat tarvitsevat tietoturvajohtajan tukea voidakseen keskittyä oikein. Tiimien tulisi ottaa käyttöön LLM:itä ratkaistavissa olevissa ongelmissa, ja ennen kuin he voivat tehdä sen, heidän on arvioitava LLM:ien hyödyllisyys organisaation ympäristössä, sanoo John Miller, Mandiantin älykkyysanalyysiryhmän johtaja.

"Tavoitteenamme on auttaa organisaatioita selviytymään epävarmuudesta, koska menestystarinoita tai epäonnistumistarinoita ei vielä ole paljon", Miller sanoo. "Todella rutiininomaisesti saatavilla olevaan kokemukseen perustuvia vastauksia ei vielä ole, ja haluamme tarjota puitteet pohtimiselle, kuinka odottaa tämäntyyppisiä vaikutuksia koskevia kysymyksiä parhaiten."

Esityksessä osoitteessa Musta hattu USA elokuun alussa otsikolla "Miltä LLM-pohjainen uhkatiedusteluohjelma näyttää?”, Miller ja Ron Graf, Mandiantin Google Cloudin tiedustelu-analytiikkatiimin datatieteilijät, esittelevät alueita, joilla LLM:t voivat lisätä tietoturvatyöntekijöitä nopeuttaakseen ja syventääkseen kyberturvallisuusanalyysiä.

Kolme uhkatiedon ainesosaa

Tietoturva-ammattilaiset, jotka haluavat luoda organisaatiolleen vahvan uhkien tiedustelukyvyn, tarvitsevat kolme komponenttia luodakseen onnistuneesti sisäisen uhkien tiedustelutoiminnon, Miller kertoo Dark Readingille. He tarvitsevat tietoa olennaisista uhista; kyky käsitellä ja standardoida tietoja niin, että niistä on hyötyä; ja kyky tulkita, kuinka nämä tiedot liittyvät turvallisuusongelmiin.

Se on helpommin sanottu kuin tehty, koska uhkien tiedusteluryhmät – tai uhkatiedosta vastaavat henkilöt – ovat usein täynnä tietoja tai sidosryhmien pyyntöjä. LLM:t voivat kuitenkin auttaa kuromaan umpeen, jolloin muut organisaation ryhmät voivat pyytää tietoja luonnollisen kielen kyselyillä ja saada tiedot ei-teknisellä kielellä, hän sanoo. Yleisiä kysymyksiä ovat trendit tietyillä uhkien alueilla, kuten lunnasohjelmat, tai kun yritykset haluavat tietää uhista tietyillä markkinoilla.

"Johtajat, jotka onnistuvat lisäämään uhkatietonsa LLM-ohjatuilla ominaisuuksilla, voivat periaatteessa suunnitella suuremman tuoton sijoitukselleen uhkatiedustelutoiminnoistaan", Miller sanoo. "Se, mitä johtaja voi odottaa, kun hän ajattelee eteenpäin, ja mitä hänen nykyinen älykkyytensä voi tehdä, on luoda parempia kykyjä samoilla resursseilla voidakseen vastata näihin kysymyksiin."

Tekoäly ei voi korvata ihmisanalyytikot

Organisaatiot, jotka ottavat vastaan ​​LLM:itä ja tekoälyllä täydennettyä uhkatietoa, pystyvät paremmin muuttamaan ja hyödyntämään yrityksen tietoturvatietosarjoja, jotka muuten jäisivät hyödyntämättä. Silti on sudenkuoppia. LLM:ien luottaminen johdonmukaisen uhka-analyysin tuottamiseen voi säästää aikaa, mutta voi myös johtaa esim mahdolliset "hallusinaatiot" - LLM:ien puute jossa järjestelmä luo yhteyksiä, joissa ei ole mitään tai valmistaa vastauksia kokonaan, kiitos virheellisten tai puuttuvien tietojen koulutuksen.

"Jos luotat mallin tuloksiin tehdäksesi päätöksen yrityksesi turvallisuudesta, haluat varmistaa, että joku on katsonut sitä ja tunnistaa, onko siinä perusvirheitä, Google Cloudin Miller sanoo. "Sinun on pystyttävä varmistamaan, että sinulla on päteviä asiantuntijoita, jotka voivat puhua näkemyksen hyödyllisyydestä vastattaessa näihin kysymyksiin tai tehtäessä päätöksiä."

Tällaiset ongelmat eivät ole ylitsepääsemättömiä, sanoo Google Cloudin Graf. Organisaatioilla voisi olla kilpailevia malleja ketjutettuina yhteen, jotta ne voisivat olennaisesti tehdä eheystarkastuksia ja vähentää hallusinaatioiden määrää. Lisäksi kysymysten esittäminen optimoidulla tavalla – niin kutsutulla ”prompt engineering” – voi johtaa parempiin tai ainakin todellisuutta parhaiten vastaaviin vastauksiin.

Tekoälyn pitäminen parisuhteessa ihmisen kanssa on kuitenkin paras tapa, Graf sanoo.

"Meidän mielestämme paras lähestymistapa on vain ottaa ihmiset mukaan", hän sanoo. "Ja se parantaa joka tapauksessa loppupään suorituskykyä, joten organisaatiot hyötyvät edelleen."

Tämä lisäysmenetelmä on saanut vetoa, kuten kyberturvallisuusyritykset ovat liittyneet mukaan muut yritykset etsivät tapoja muuttaa ydinkykyään suurten LLM-yritysten avulla. Maaliskuussa esimerkiksi Microsoft käynnisti Security Copilotin auttaa kyberturvallisuusryhmiä tutkimaan tietomurtoja ja etsimään uhkia. Huhtikuussa uhkatiedusteluyritys Recorded Future esitteli LLM:llä parannetun ominaisuuden ja havaitsi, että järjestelmän kyky muuttaa laajat tiedot tai syvällinen haku yksinkertaiseksi kahden tai kolmen lauseen yhteenvetoraportiksi analyytikolle on säästänyt huomattavasti aikaa sen turvallisuusalan ammattilaisia.

"Periaatteessa uhkatiedustelu on mielestäni "Big Data" -ongelma, ja sinulla on oltava laaja näkyvyys hyökkäyksen kaikilla tasoilla hyökkääjään, infrastruktuuriin ja ihmisiin, joihin he kohdistuvat, Jamie Zajac sanoo. Recorded Future -yhtiön tuotejohtaja, joka sanoo, että tekoäly antaa ihmisille yksinkertaisesti olla tehokkaampia kyseisessä ympäristössä. "Kun sinulla on kaikki nämä tiedot, sinulla on ongelma "miten syntetisoi tämän hyödylliseksi?", ja huomasimme, että älykkyytemme ja suurten kielimallien käyttäminen … alkoi säästää [analyytikoidemme] tunteja ja tunteja. aika."

Aikaleima:

Lisää aiheesta Pimeää luettavaa