AI 증강 위협 인텔리전스가 보안 부족을 해결하는 방법

AI 증강 위협 인텔리전스가 보안 부족을 해결하는 방법

타임 스탬프 : 17 년 2023 월 6 일 오후 04:XNUMX
AI 증강 위협 인텔리전스가 보안 결함을 해결하는 방법 PlatoBlockchain Data Intelligence. 수직 검색. 일체 포함.

보안 운영 및 위협 인텔리전스 팀은 만성적으로 인력이 부족하고 데이터에 압도당하며 상충하는 요구 사항을 처리해야 합니다. 이러한 모든 문제는 대규모 언어 모델(LLM) 시스템이 해결하는 데 도움이 될 수 있습니다. 그러나 시스템에 대한 경험 부족으로 인해 많은 기업들이 이 기술을 채택하는 데 걸림돌이 되고 있습니다.

LLM을 구현하는 조직은 원시 데이터 및 위협 인텔리전스 기능 심화, 그러나 이러한 프로그램은 올바르게 초점을 맞추려면 보안 리더십의 지원이 필요합니다. 팀은 해결 가능한 문제에 대해 LLM을 구현해야 하며 그렇게 하기 전에 조직 환경에서 LLM의 유용성을 평가해야 한다고 Mandiant의 인텔리전스 분석 그룹 책임자인 John Miller는 말합니다.

"우리가 목표로 하는 것은 아직 성공 사례나 실패 사례가 많지 않기 때문에 조직이 불확실성을 탐색하도록 돕는 것입니다."라고 Miller는 말합니다. "아직 일상적으로 사용 가능한 경험을 기반으로 하는 답은 없습니다. 우리는 영향에 대한 이러한 유형의 질문을 가장 잘 예상할 수 있는 방법에 대해 생각할 수 있는 프레임워크를 제공하고자 합니다."

프레젠테이션에서 Black Hat 미국 XNUMX월 초 "라는 제목으로LLM 기반 위협 인텔리전스 프로그램은 어떤 모습입니까?,” Miller와 Mandiant의 Google Cloud 인텔리전스 분석 팀의 데이터 과학자인 Ron Graf는 LLM이 보안 작업자를 보강하여 사이버 보안 분석을 가속화하고 심화할 수 있는 영역을 시연합니다.

위협 인텔리전스의 세 가지 요소

조직을 위한 강력한 위협 인텔리전스 기능을 생성하려는 보안 전문가는 내부 위협 인텔리전스 기능을 성공적으로 생성하기 위해 세 가지 구성 요소가 필요하다고 Miller는 Dark Reading에 말합니다. 관련 위협에 대한 데이터가 필요합니다. 유용하도록 해당 데이터를 처리하고 표준화하는 기능 그리고 그 데이터가 보안 문제와 어떻게 관련되는지 해석하는 능력.

위협 인텔리전스 팀(또는 위협 인텔리전스를 담당하는 개인)은 이해 관계자의 데이터나 요청에 압도되는 경우가 많기 때문에 말처럼 쉽지 않습니다. 그러나 LLM은 조직의 다른 그룹이 자연어 쿼리로 데이터를 요청하고 비기술적 언어로 정보를 얻을 수 있도록 함으로써 격차를 해소하는 데 도움이 될 수 있다고 그는 말합니다. 일반적인 질문에는 랜섬웨어와 같은 특정 위협 영역의 추세 또는 기업이 특정 시장의 위협에 대해 알고자 하는 경우가 포함됩니다.

"LLM 기반 기능으로 위협 인텔리전스를 강화하는 데 성공한 리더는 기본적으로 위협 인텔리전스 기능에서 더 높은 투자 수익을 계획할 수 있습니다."라고 Miller는 말합니다. "리더가 미래를 생각하면서 기대할 수 있는 것과 현재 인텔리전스 기능이 할 수 있는 것은 이러한 질문에 답할 수 있는 동일한 리소스로 더 높은 역량을 창출하는 것입니다."

AI는 인간 분석가를 대체할 수 없습니다.

LLM 및 AI 증강 위협 인텔리전스를 수용하는 조직은 그렇지 않으면 활용되지 않을 엔터프라이즈 보안 데이터 세트를 변환하고 활용할 수 있는 향상된 기능을 갖게 됩니다. 그러나 함정이 있습니다. 일관된 위협 분석을 생성하기 위해 LLM에 의존하면 시간을 절약할 수 있지만 예를 들어 잠재적인 "환각" — LLM의 단점 부정확하거나 누락된 데이터에 대한 교육 덕분에 시스템이 답이 없는 연결을 생성하거나 답을 완전히 조작합니다.

“비즈니스의 보안에 대한 결정을 내리기 위해 모델의 결과에 의존하고 있다면, 근본적인 오류가 있는지 인식할 수 있는 기능과 함께 누군가 모델을 살펴보았다는 것을 확인할 수 있기를 원합니다. "라고 Google Cloud의 Miller는 말합니다. "질문에 답하거나 결정을 내리는 데 통찰력의 유용성을 대변할 수 있는 자격을 갖춘 전문가가 있는지 확인할 수 있어야 합니다."

이러한 문제는 극복할 수 없는 것이 아니라고 Google Cloud의 Graf는 말합니다. 조직은 본질적으로 무결성 검사를 수행하고 환각의 비율을 줄이기 위해 함께 연결된 경쟁 모델을 가질 수 있습니다. 또한 "즉각적인 엔지니어링"이라고 하는 최적화된 방식으로 질문하면 더 나은 답변 또는 적어도 현실에 가장 부합하는 답변을 얻을 수 있습니다.

그러나 AI를 인간과 짝지어 유지하는 것이 가장 좋은 방법이라고 Graf는 말합니다.

"가장 좋은 접근 방식은 인간을 루프에 포함시키는 것이라고 생각합니다."라고 그는 말합니다. "어쨌든 다운스트림 성능 향상을 가져올 것이기 때문에 조직은 여전히 ​​그 혜택을 누리고 있습니다."

이 확대 접근 방식은 다음과 같이 주목을 받고 있습니다. 사이버 보안 회사가 합류했습니다. 대규모 LLM을 통해 핵심 역량을 혁신하는 방법을 모색 중인 다른 기업들. 예를 들어 XNUMX월에 Microsoft Security Copilot 출시 사이버 보안 팀이 침해를 조사하고 위협을 찾는 데 도움이 됩니다. 그리고 XNUMX월에 위협 인텔리전스 회사인 Recorded Future는 LLM 강화 기능을 선보였습니다. 방대한 데이터 또는 심층 검색을 분석가를 위한 간단한 XNUMX~XNUMX문장 요약 보고서로 변환하는 시스템의 기능이 상당한 시간을 절약했다는 사실을 발견했습니다. 보안 전문가입니다.

Jamie Zajac은 "기본적으로 위협 인텔리전스는 '빅 데이터' 문제이며, 공격자, 인프라, 표적 대상에 대한 모든 수준의 공격에 대한 광범위한 가시성을 확보해야 합니다."라고 말했습니다. Recorded Future의 제품 부사장은 AI를 통해 인간이 해당 환경에서 더 효율적일 수 있다고 말합니다. “이 모든 데이터를 확보하고 나면 '실제로 이것을 어떻게 유용한 것으로 합성할 것인가?'라는 문제가 생깁니다. 그리고 우리는 우리의 인텔리전스와 대규모 언어 모델을 사용하여 … [우리 분석가]가 시간."

타임 스탬프 :

더보기 어두운 독서