Cum AI-Augmented Threat Intelligence rezolvă deficiențele de securitate

Echipele de operațiuni de securitate și de informații despre amenințări sunt în mod cronic cu personal scurt, copleșite de date și se confruntă cu cerințe concurente - toate problemele pe care sistemele cu model de limbă mare (LLM) le pot ajuta să le remedieze. Dar lipsa de experiență cu sistemele împiedică multe companii să adopte tehnologia.

Organizațiile care implementează LLM-uri vor putea sintetiza mai bine inteligența din date brute și să-și aprofundeze capacitățile de informații privind amenințările, dar astfel de programe au nevoie de sprijin din partea conducerii de securitate pentru a fi concentrate corect. Echipele ar trebui să implementeze LLM-uri pentru probleme rezolvabile și, înainte de a putea face asta, trebuie să evalueze utilitatea LLM-urilor în mediul unei organizații, spune John Miller, șeful grupului de analiză a informațiilor Mandiant.

„Ceea ce ne propunem este să ajutăm organizațiile să navigheze în incertitudine, pentru că încă nu există multe povești de succes sau povești de eșec”, spune Miller. „Nu există încă răspunsuri care să se bazeze pe experiența disponibilă în mod obișnuit și dorim să oferim un cadru pentru a gândi cum să așteptăm cel mai bine aceste tipuri de întrebări despre impact.”

Într-o prezentare la Pălărie Neagră SUA la începutul lunii august, intitulată „Cum arată un program de informații despre amenințări alimentat de LLM?”, Miller și Ron Graf, un om de știință de date din echipa de analiză de informații de la Mandiant Google Cloud, vor demonstra domeniile în care LLM-urile pot spori lucrătorii de securitate pentru a accelera și aprofunda analiza securității cibernetice.

Trei ingrediente ale inteligenței amenințărilor

Profesioniștii în securitate care doresc să creeze o capacitate puternică de informații despre amenințări pentru organizația lor au nevoie de trei componente pentru a crea cu succes o funcție internă de informații despre amenințări, spune Miller pentru Dark Reading. Au nevoie de date despre amenințările care sunt relevante; capacitatea de a procesa și standardiza acele date astfel încât să fie utile; și capacitatea de a interpreta modul în care aceste date se referă la preocupările de securitate.

Este mai ușor de spus decât de făcut, deoarece echipele de informații despre amenințări – sau persoanele responsabile cu informațiile despre amenințări – sunt adesea copleșite de date sau solicitări din partea părților interesate. Cu toate acestea, LLM-urile pot ajuta la reducerea decalajului, permițând altor grupuri din organizație să solicite date cu interogări în limbaj natural și să obțină informații într-un limbaj non-tehnic, spune el. Întrebările frecvente includ tendințe în anumite domenii de amenințări, cum ar fi ransomware, sau atunci când companiile doresc să afle despre amenințările de pe anumite piețe.

„Liderii care reușesc să-și sporească informațiile despre amenințări cu capabilități bazate pe LLM pot planifica practic o rentabilitate mai mare a investiției din funcția lor de informații despre amenințări”, spune Miller. „Ceea ce se poate aștepta un lider în timp ce se gândește la viitor și ceea ce poate face funcția sa actuală de inteligență este să creeze capacități mai mari cu aceleași resurse pentru a putea răspunde la aceste întrebări.”

AI nu poate înlocui analiștii umani

Organizațiile care îmbrățișează LLM-uri și informații cu amenințări sporite de AI vor avea o capacitate îmbunătățită de a transforma și de a utiliza seturi de date de securitate ale întreprinderii care altfel ar rămâne neexploatate. Totuși, există capcane. Bazându-vă pe LLM-uri pentru a produce o analiză coerentă a amenințărilor poate economisi timp, dar poate duce, de exemplu, la potențiale „halucinații” - un deficiență al LLM-urilor unde sistemul va crea conexiuni acolo unde nu există sau va fabrica răspunsuri în întregime, datorită instruirii privind datele incorecte sau lipsă.

„Dacă te bazezi pe rezultatul unui model pentru a lua o decizie cu privire la securitatea afacerii tale, atunci vrei să fii capabil să confirmi că cineva a analizat-o, cu capacitatea de a recunoaște dacă există erori fundamentale, ” spune Miller de la Google Cloud. „Trebuie să fiți în măsură să vă asigurați că aveți experți calificați, care pot vorbi pentru utilitatea informațiilor în a răspunde la acele întrebări sau a lua acele decizii.”

Astfel de probleme nu sunt de netrecut, spune Graf de la Google Cloud. Organizațiile ar putea avea modele concurente înlănțuite pentru a efectua, în esență, verificări de integritate și pentru a reduce rata halucinațiilor. În plus, adresarea întrebărilor într-un mod optimizat – așa-numita „inginerie promptă” – poate duce la răspunsuri mai bune, sau cel puțin la cele mai în ton cu realitatea.

Totuși, menținerea unei IA asociată cu un om este cea mai bună modalitate, spune Graf.

„Este de părerea noastră că cea mai bună abordare este doar includerea oamenilor în buclă”, spune el. „Și asta va aduce oricum îmbunătățiri ale performanței în aval, așa că organizațiile încă culeg beneficiile.”

Această abordare de augmentare a câștigat acțiune, așa cum s-au alăturat firmelor de securitate cibernetică alte companii în explorarea modalităților de a-și transforma capacitățile de bază cu LLM-uri mari. În martie, de exemplu, Microsoft a lansat Security Copilot pentru a ajuta echipele de securitate cibernetică să investigheze încălcările și să vâneze amenințări. Și în aprilie, firma de informații privind amenințările Recorded Future a debutat cu o capacitate îmbunătățită de LLM, constatând că capacitatea sistemului de a transforma date vaste sau căutare profundă într-un simplu raport rezumat de două sau trei propoziții pentru analist a economisit o cantitate semnificativă de timp pentru profesioniștii săi în securitate.

„În principiu, informațiile despre amenințări, cred, sunt o problemă de „big data” și trebuie să aveți o vizibilitate extinsă asupra tuturor nivelurilor de atac asupra atacatorului, asupra infrastructurii și asupra oamenilor pe care îi vizează”, spune Jamie Zajac, vicepreședinte de produs la Recorded Future, care spune că AI le permite oamenilor pur și simplu să fie mai eficienți în acel mediu. „Odată ce ai toate aceste date, ai problema „cum sintetizezi de fapt acest lucru în ceva util?”, și am descoperit că folosind inteligența noastră și folosirea modelelor de limbaj mari … a început să economisească [analiștilor noștri] ore și ore de timp."

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://www.darkreading.com/black-hat/ai-augmented-threat-intelligence-solves-security-shortfalls