Hur AI-Augmented Threat Intelligence löser säkerhetsbrister

Hur AI-Augmented Threat Intelligence löser säkerhetsbrister

Tidsstämpel: 17 juli 2023 6:04
Hur AI-Augmented Threat Intelligence löser säkerhetsbrister PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

Säkerhetsoperationer och hotintelligence-team är kroniskt kortbemannade, överväldigade med data och hanterar konkurrerande krav – alla problem som system med stora språkmodeller (LLM) kan hjälpa till att åtgärda. Men bristen på erfarenhet av systemen håller tillbaka många företag från att ta till sig tekniken.

Organisationer som implementerar LLM kommer att kunna bättre syntetisera intelligens från rådata och fördjupa sina hot-intelligence-förmåga, men sådana program behöver stöd från säkerhetsledningen för att fokuseras korrekt. Team bör implementera LLMs för lösbara problem, och innan de kan göra det måste de utvärdera nyttan av LLMs i en organisations miljö, säger John Miller, chef för Mandiants intelligensanalysgrupp.

"Vad vi siktar på är att hjälpa organisationer att navigera i osäkerheten, eftersom det inte finns många vare sig framgångshistorier eller misslyckandehistorier ännu," säger Miller. "Det finns inte riktigt svar än som är baserade på rutinmässigt tillgänglig erfarenhet, och vi vill ge ett ramverk för att fundera över hur man bäst ser fram emot den typen av frågor om påverkan."

I en presentation kl Svart hatt USA i början av augusti, med titeln "Hur ser ett LLM-drivet hotintelligensprogram ut?,” Miller och Ron Graf, en dataforskare på intelligens-analytikteamet på Mandiants Google Cloud, kommer att visa de områden där LLM:er kan utöka säkerhetsarbetare för att påskynda och fördjupa cybersäkerhetsanalysen.

Tre ingredienser för hotintelligens

Säkerhetspersonal som vill skapa en stark hotintelligence-kapacitet för sin organisation behöver tre komponenter för att framgångsrikt skapa en intern hotintelligence-funktion, säger Miller till Dark Reading. De behöver data om de hot som är relevanta; förmågan att bearbeta och standardisera denna data så att den är användbar; och förmågan att tolka hur dessa uppgifter relaterar till säkerhetsproblem.

Det är lättare sagt än gjort, eftersom hotintelligence-team – eller personer som ansvarar för hotintelligens – ofta är överväldigade med data eller förfrågningar från intressenter. Men LLM:er kan hjälpa till att överbrygga klyftan, vilket gör att andra grupper i organisationen kan begära data med naturliga språkfrågor och få informationen på ett icke-tekniskt språk, säger han. Vanliga frågor inkluderar trender inom specifika områden av hot, som ransomware, eller när företag vill veta om hot på specifika marknader.

"Ledare som lyckas utöka sin hotintelligens med LLM-drivna kapaciteter kan i princip planera för en högre avkastning på investeringen från sin hotintelligensfunktion", säger Miller. "Vad en ledare kan förvänta sig när de tänker framåt, och vad deras nuvarande intelligensfunktion kan göra, är att skapa högre förmåga med samma resurser för att kunna svara på dessa frågor."

AI kan inte ersätta mänskliga analytiker

Organisationer som anammar LLM och AI-förstärkt hotintelligens kommer att ha en förbättrad förmåga att transformera och använda företagssäkerhetsdatauppsättningar som annars skulle förbli outnyttjade. Ändå finns det fallgropar. Att förlita sig på LLM för att ta fram en sammanhängande hotanalys kan spara tid, men kan också till exempel leda till potentiella "hallucinationer" — en brist hos LLM där systemet kommer att skapa kopplingar där det inte finns några eller tillverka svar helt, tack vare att det tränas på felaktiga eller saknade data.

"Om du förlitar dig på resultatet av en modell för att fatta ett beslut om säkerheten för ditt företag, då vill du kunna bekräfta att någon har tittat på den, med förmågan att känna igen om det finns några grundläggande fel, ” säger Miller från Google Cloud. "Du måste kunna se till att du har experter som är kvalificerade, som kan tala för nyttan av insikten när det gäller att svara på dessa frågor eller fatta de besluten."

Sådana problem är inte oöverstigliga, säger Google Clouds Graf. Organisationer kan ha konkurrerande modeller sammankopplade för att i huvudsak göra integritetskontroller och minska frekvensen av hallucinationer. Dessutom kan ställa frågor på ett optimerat sätt - så kallad "prompt engineering" - leda till bättre svar, eller åtminstone de som är mest i samklang med verkligheten.

Att hålla en AI parad med en människa är dock det bästa sättet, säger Graf.

"Det är vår åsikt att det bästa tillvägagångssättet är att bara inkludera människor i loopen", säger han. "Och det kommer att ge prestandaförbättringar nedströms i alla fall, så organisationerna skördar fortfarande frukterna."

Denna förstärkningsmetod har fått draghjälp, som cybersäkerhetsföretag har anslutit sig andra företag undersöker sätt att omvandla sin kärnkapacitet med stora LLM:er. I mars till exempel Microsoft lanserade Security Copilot att hjälpa cybersäkerhetsteam att undersöka intrång och jaga efter hot. Och i april debuterade hotintelligence-företaget Recorded Future en LLM-förbättrad kapacitet och upptäckte att systemets förmåga att förvandla omfattande data eller djupsökning till en enkel sammanfattningsrapport på två eller tre meningar för analytikern har sparat en betydande mängd tid för dess säkerhetspersonal.

"I grunden tror jag att hotintelligens är ett 'Big Data'-problem, och du måste ha omfattande insyn i alla nivåer av attacken in i angriparen, in i infrastrukturen och in i människorna de riktar sig till", säger Jamie Zajac, vice president of product på Recorded Future, som säger att AI tillåter människor att helt enkelt vara mer effektiva i den miljön. "När du har all denna data har du problemet med "hur syntetiserar du egentligen detta till något användbart?", och vi upptäckte att genom att använda vår intelligens och använda stora språkmodeller … började spara [våra analytiker] timmar och timmar av tid."

Tidsstämpel:

Mer från Mörk läsning