AI 拡張脅威インテリジェンスがセキュリティの不足をどのように解決するか

AI 拡張脅威インテリジェンスがセキュリティの不足をどのように解決するか

タイムスタンプ:17年2023月6日04:XNUMX
AI 拡張脅威インテリジェンスが PlatoBlockchain データ インテリジェンスのセキュリティ不足をどのように解決するか。垂直検索。あい。

セキュリティ運用チームと脅威インテリジェンス チームは慢性的に人員が不足しており、データで圧倒され、競合する要求に対処しています。これらの問題はすべて、大規模言語モデル (LLM) システムが解決するのに役立ちます。 しかし、システムの経験不足が多くの企業のこのテクノロジーの導入を妨げています。

LLM を導入する組織は、生のデータからインテリジェンスをより適切に合成できるようになり、 脅威インテリジェンス能力を強化するただし、そのようなプログラムが正しく集中するには、セキュリティ リーダーのサポートが必要です。 チームは解決可能な問題に対して LLM を実装する必要があり、その前に組織の環境における LLM の有用性を評価する必要がある、と Mandiant のインテリジェンス分析グループの責任者である John Miller 氏は述べています。

「私たちが目指しているのは、組織が不確実性を乗り越えられるよう支援することです。成功例も失敗例もまだ多くないからです」とミラー氏は言う。 「日常的に得られる経験に基づいた実際の答えはまだありません。私たちは、影響に関するこの種の質問を最もよく予測する方法を考えるためのフレームワークを提供したいと考えています。」

でのプレゼンテーションで ブラックハットUSA XNUMX月初旬に「LLM を活用した脅威インテリジェンス プログラムとはどのようなものですか?ミラー氏と、マンディアントの Google Cloud のインテリジェンス分析チームのデータ サイエンティストであるロン グラフ氏は、LLM がセキュリティ ワーカーを強化してサイバーセキュリティ分析を高速化および深化できる領域をデモンストレーションします。

脅威インテリジェンスの XNUMX つの要素

組織に強力な脅威インテリジェンス機能を構築したいセキュリティ専門家が、社内の脅威インテリジェンス機能を適切に構築するには XNUMX つのコンポーネントが必要であると、Miller 氏は Dark Reading に語ります。 関連する脅威に関するデータが必要です。 データを処理して標準化して役に立つようにする機能。 そして、そのデータがセキュリティ上の懸念にどのように関連しているかを解釈する能力。

脅威インテリジェンス チーム (または脅威インテリジェンスを担当する個人) は、データや利害関係者からの要求に圧倒されることが多いため、これは言うは易く行うは難しです。 しかし、LLM はギャップを埋めるのに役立ち、組織内の他のグループが自然言語クエリでデータを要求し、非専門用語で情報を取得できるようにすることができる、と彼は言います。 よくある質問には、ランサムウェアなどの特定分野の脅威の傾向や、企業が特定の市場の脅威について知りたい場合などがあります。

「LLM 主導の機能で脅威インテリジェンスの強化に成功したリーダーは、基本的に、脅威インテリジェンス機能からのより高い投資収益率を計画できます」と Miller 氏は言います。 「将来を見据えてリーダーが期待できること、そして現在のインテリジェンス機能でできることは、同じリソースでこれらの質問に答えられるより高い能力を生み出すことです。」

AI は人間のアナリストに代わることはできません

LLM と AI で拡張された脅威インテリジェンスを採用している組織は、活用されていないエンタープライズ セキュリティ データセットを変換して利用する能力が向上します。 ただし、落とし穴もあります。 LLM に依存して一貫した脅威分析を行うと時間を節約できますが、たとえば、次のような問題が発生する可能性もあります。 潜在的な「幻覚」 — LLM の欠点 間違ったデータまたは欠落したデータについてトレーニングされているため、システムは存在しない接続を作成したり、答えを完全に捏造したりします。

「ビジネスのセキュリティに関する意思決定をするためにモデルの出力に依存している場合、根本的なエラーがあるかどうかを認識できる機能とともに、誰かがモデルを調べたことを確認できるようにしたいと考えます。 」とGoogle Cloudのミラー氏は言う。 「これらの質問に答えたり、意思決定をしたりする際の洞察の有用性を代弁できる、資格のある専門家を確実に配置する必要があります。」

Google Cloud の Graf 氏は、こうした問題は克服できないものではないと述べています。 組織は、基本的に整合性チェックを実行し、幻覚の発生率を減らすために、競合するモデルを連鎖させることができます。 さらに、最適化された方法で質問すること、いわゆる「プロンプトエンジニアリング」は、より良い答え、または少なくとも現実に最も適合した答えにつながる可能性があります。

ただし、AI を人間とペアにしておくことが最善の方法だとグラフ氏は言います。

「最良のアプローチは、単に人間をループに含めることであるというのが私たちの意見です」と彼は言います。 「そして、それはいずれにしても下流のパフォーマンスの向上につながるので、組織は依然としてその恩恵を受けています。」

この拡張アプローチは注目を集めています。 サイバーセキュリティ企業が参加 他の企業は、大規模な LLM を使用してコア機能を変革する方法を模索しています。 たとえば XNUMX 月には、Microsoft Security Copilot を開始 サイバーセキュリティ チームが侵害を調査し、脅威を探索できるようにします。 そして XNUMX 月、脅威インテリジェンス会社 Recorded Future は、LLM で強化された機能をデビューさせました。その結果、膨大なデータや詳細な検索をアナリスト向けの XNUMX 文または XNUMX 文の単純な概要レポートに変換するシステムの機能により、分析にかかる時間が大幅に節約されたことがわかりました。そのセキュリティ専門家。

「基本的に、脅威インテリジェンスは『ビッグデータ』の問題だと思います。攻撃者、インフラストラクチャ、攻撃対象の人々に対するあらゆるレベルの攻撃を広範囲に把握する必要があります」とジェイミー・ザジャック氏は言います。 Recorded Future の製品担当副社長は、AI のおかげで人間はその環境でより効率的に働けるようになると述べています。 「このデータをすべて入手したら、『これを実際にどのようにして有用なものに合成するか?』という問題が発生します。そして、私たちのインテリジェンスと大規模な言語モデルを使用することで、[当社のアナリスト] が何時間も費やす時間を節約し始めたことがわかりました。時間。"

タイムスタンプ:

より多くの 暗い読書