Как интеллектуальный анализ угроз, дополненный искусственным интеллектом, решает проблемы безопасности

Команды по обеспечению безопасности и анализу угроз хронически испытывают нехватку персонала, перегружены данными и сталкиваются с конкурирующими запросами — все проблемы, которые могут помочь решить системы крупноязыковой модели (LLM). Но отсутствие опыта работы с системами удерживает многие компании от внедрения этой технологии.

Организации, внедряющие LLM, смогут лучше синтезировать интеллект из необработанных данных и углубить свои возможности разведки угроз, но такие программы нуждаются в поддержке со стороны руководства службы безопасности, чтобы быть правильно сфокусированными. Команды должны внедрять LLM для решаемых проблем, и прежде чем они смогут это сделать, им необходимо оценить полезность LLM в среде организации, говорит Джон Миллер, глава группы анализа разведывательных данных Mandiant.

«Мы стремимся помочь организациям справиться с неопределенностью, потому что пока не так много историй успеха или историй неудач», — говорит Миллер. «На самом деле пока нет ответов, основанных на регулярно доступном опыте, и мы хотим предоставить основу для размышлений о том, как лучше всего ожидать таких вопросов о влиянии».

В презентации на Черная шляпа США в начале августа под названием «Как выглядит программа анализа угроз на базе LLM?», Миллер и Рон Граф, специалист по данным из группы разведки и аналитики Google Cloud компании Mandiant, продемонстрируют области, в которых LLM могут усилить специалистов по безопасности, чтобы ускорить и углубить анализ кибербезопасности.

Три компонента анализа угроз

Специалистам по безопасности, которые хотят создать мощную систему анализа угроз для своей организации, необходимы три компонента для успешного создания внутренней функции анализа угроз, сказал Миллер Dark Reading. Им нужны данные об актуальных угрозах; возможность обрабатывать и стандартизировать эти данные, чтобы они были полезны; и способность интерпретировать, как эти данные связаны с проблемами безопасности.

Это легче сказать, чем сделать, потому что группы по анализу угроз или лица, отвечающие за анализ угроз, часто перегружены данными или запросами от заинтересованных сторон. Однако LLM могут помочь преодолеть этот разрыв, позволяя другим группам в организации запрашивать данные с помощью запросов на естественном языке и получать информацию на нетехническом языке, говорит он. Общие вопросы включают тенденции в конкретных областях угроз, таких как программы-вымогатели, или когда компании хотят знать об угрозах на определенных рынках.

«Руководители, которым удается дополнить свою аналитику угроз возможностями, основанными на LLM, могут в основном планировать более высокую отдачу от инвестиций в свою функцию аналитики угроз», — говорит Миллер. «То, что лидер может ожидать, когда он думает о будущем, и то, что может сделать его текущая разведывательная функция, — это создание более высоких возможностей с теми же ресурсами, чтобы быть в состоянии ответить на эти вопросы».

ИИ не может заменить человека-аналитика

Организации, использующие LLM и расширенную ИИ информацию об угрозах, получат улучшенные возможности для преобразования и использования наборов данных корпоративной безопасности, которые в противном случае остались бы неиспользованными. И все же есть подводные камни. Использование LLM для последовательного анализа угроз может сэкономить время, но также может привести, например, к потенциальные «галлюцинации» — недостаток LLM где система будет создавать связи там, где их нет, или полностью фабриковать ответы, благодаря обучению на неверных или отсутствующих данных.

«Если вы полагаетесь на результаты модели, чтобы принять решение о безопасности вашего бизнеса, то вы хотите иметь возможность подтвердить, что кто-то просмотрел ее, с возможностью распознать какие-либо фундаментальные ошибки, — говорит Миллер из Google Cloud. «Вы должны иметь возможность убедиться, что у вас есть квалифицированные эксперты, которые могут говорить о полезности понимания при ответе на эти вопросы или принятии этих решений».

Такие проблемы не являются непреодолимыми, говорит Граф из Google Cloud. Организации могли бы объединить конкурирующие модели, чтобы, по сути, проводить проверки целостности и снижать частоту галлюцинаций. Кроме того, задавая вопросы оптимизированным способом — так называемая «быстрая инженерия» — можно получить более качественные ответы или, по крайней мере, те, которые наиболее соответствуют реальности.

Однако лучше всего, по словам Графа, держать ИИ в паре с человеком.

«По нашему мнению, лучший подход — просто включить в цикл людей», — говорит он. «И это в любом случае приведет к повышению производительности на последующих этапах, поэтому организации по-прежнему пожинают плоды».

Этот подход к увеличению набирает обороты, поскольку фирмы по кибербезопасности присоединились другие компании изучают способы преобразования своих основных возможностей с помощью крупных LLM. В марте, например, Microsoft запустил Security Copilot чтобы помочь группам по кибербезопасности расследовать нарушения и искать угрозы. А в апреле компания Recorded Future, специализирующаяся на анализе угроз, представила расширенную возможность LLM, обнаружив, что способность системы превращать обширные данные или глубокий поиск в простой сводный отчет из двух или трех предложений для аналитика сэкономила значительное количество времени для аналитика. его специалисты по безопасности.

«По сути, я думаю, что разведка угроз — это проблема «больших данных», и вам необходимо иметь полное представление обо всех уровнях атаки, включая атакующего, инфраструктуру и людей, на которых они нацелены, — говорит Джейми Заджак, вице-президент по продукту в Recorded Future, который говорит, что ИИ позволяет людям просто быть более эффективными в этой среде. «Когда у вас есть все эти данные, у вас возникает проблема «как вы на самом деле синтезируете это во что-то полезное?», и мы обнаружили, что использование нашего интеллекта и использование больших языковых моделей… начали экономить [нашим аналитикам] часы и часы работы. время."

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/black-hat/ai-augmented-threat-intelligence-solves-security-shortfalls