Black Hat 2023: IA 'adolescente' não é suficiente para inteligência de ameaças cibernéticas

Segurança Digital, Ransomware, Crime Cibernético

Os LLMs atuais simplesmente não estão maduros o suficiente para tarefas de alto nível

Tony Anscombe

Agosto 12 2023  .  , 2 minutos. ler

Mencione o termo “inteligência sobre ameaças cibernéticas” (CTI) para equipes de segurança cibernética de empresas de médio a grande porte e as palavras “estamos começando a investigar a oportunidade” costumam ser a resposta. Estas são as mesmas empresas que podem estar a sofrer com a falta de profissionais de segurança cibernética experientes e de qualidade.

Na Black Hat desta semana, dois membros da equipe do Google Cloud apresentaram como os recursos de Large Language Models (LLM), como GPT-4 e Palma pode desempenhar um papel na segurança cibernética, especificamente no domínio da CTI, resolvendo potencialmente alguns dos problemas de recursos. Isto pode parecer abordar um conceito futuro para muitas equipas de segurança cibernética, uma vez que ainda estão na fase de exploração da implementação de um programa de inteligência de ameaças; ao mesmo tempo, também pode resolver parte da questão dos recursos.

Relacionado: Uma primeira olhada na inteligência de ameaças e ferramentas de caça a ameaças

Os principais elementos da inteligência contra ameaças

Existem três elementos principais que um programa de inteligência de ameaças precisa para ter sucesso: visibilidade da ameaça, capacidade de processamento e capacidade de interpretação. O impacto potencial do uso de um LLM é que ele pode ajudar significativamente no processamento e interpretação, por exemplo, poderia permitir que dados adicionais, como dados de registro, fossem analisados ​​onde, devido ao volume, poderiam ter que ser ignorados. A capacidade de automatizar a saída para responder às perguntas da empresa elimina uma tarefa significativa da equipe de segurança cibernética.

A apresentação solicitou a ideia de que a tecnologia LLM pode não ser adequada em todos os casos e sugeriu que ela deveria ser focada em tarefas que exigem menos pensamento crítico e onde há grandes volumes de dados envolvidos, deixando as tarefas que exigem mais pensamento crítico firmemente nas mãos. de especialistas humanos. Um exemplo utilizado foi o caso em que os documentos podem necessitar de tradução para efeitos de atribuição, um ponto importante, uma vez que a imprecisão na atribuição pode causar problemas significativos para o negócio.

Tal como acontece com outras tarefas pelas quais as equipas de segurança cibernética são responsáveis, a automação deve ser utilizada, atualmente, para as tarefas de menor prioridade e menos críticas. Isto não é um reflexo da tecnologia subjacente, mas mais uma declaração de onde a tecnologia LLM está em sua evolução. Ficou claro na apresentação que a tecnologia tem um lugar no fluxo de trabalho do CTI, mas neste momento não pode ser totalmente confiável para retornar resultados corretos e, em circunstâncias mais críticas, uma resposta falsa ou imprecisa pode causar um problema significativo. Este parece ser um consenso no uso do LLM em geral; existem numerosos exemplos onde o gerado a produção é um tanto questionável. Um apresentador da Black Hat definiu-o perfeitamente, descrevendo a IA, na sua forma atual, como “como um adolescente, ela inventa coisas, mente e comete erros”.

Relacionado: O ChatGPT começará a escrever malware matador?

O futuro?

Estou certo de que dentro de apenas alguns anos estaremos entregando à IA tarefas que automatizarão parte da tomada de decisões, por exemplo, alterando regras de firewall, priorizando e corrigindo vulnerabilidades, automatizando a desativação de sistemas devido a uma ameaça e coisas assim. Por enquanto, embora precisemos de contar com a experiência dos seres humanos para tomar estas decisões, é imperativo que as equipas não se apressem e implementem tecnologia que está na sua infância em funções tão críticas como a tomada de decisões de segurança cibernética.