AI-Augmented Threat Intelligence แก้ปัญหาการขาดแคลนด้านความปลอดภัยได้อย่างไร

ทีมปฏิบัติการด้านความปลอดภัยและข่าวกรองภัยคุกคามมักมีบุคลากรไม่เพียงพอ มีข้อมูลท่วมท้น และจัดการกับความต้องการที่แข่งขันกัน ปัญหาทั้งหมดที่ระบบโมเดลภาษาขนาดใหญ่ (LLM) สามารถช่วยแก้ไขได้ แต่การขาดประสบการณ์เกี่ยวกับระบบทำให้หลายบริษัทเลิกใช้เทคโนโลยีนี้

องค์กรที่ใช้ LLMs จะสามารถสังเคราะห์ข่าวกรองจากข้อมูลดิบได้ดีขึ้นและ เพิ่มขีดความสามารถด้านข่าวกรองภัยคุกคามแต่โปรแกรมดังกล่าวต้องการการสนับสนุนจากผู้นำด้านความปลอดภัยเพื่อให้มุ่งเน้นอย่างถูกต้อง ทีมควรใช้ LLM สำหรับปัญหาที่แก้ไขได้ และก่อนที่จะดำเนินการได้ พวกเขาจำเป็นต้องประเมินประโยชน์ของ LLM ในสภาพแวดล้อมขององค์กร จอห์น มิลเลอร์ หัวหน้ากลุ่มวิเคราะห์ข่าวกรองของ Mandiant กล่าว

“สิ่งที่เราตั้งเป้าไว้คือการช่วยให้องค์กรต่าง ๆ ก้าวข้ามความไม่แน่นอน เพราะเรื่องราวความสำเร็จหรือความล้มเหลวยังมีไม่มากนัก” มิลเลอร์กล่าว “ยังไม่มีคำตอบจริงๆ ที่มาจากประสบการณ์ที่มีอยู่เป็นประจำ และเราต้องการให้กรอบสำหรับการคิดเกี่ยวกับวิธีการมองไปข้างหน้าอย่างดีที่สุดสำหรับคำถามประเภทเหล่านั้นเกี่ยวกับผลกระทบ”

ในการนำเสนอที่ หมวกดำ USA เมื่อต้นเดือนสิงหาคมที่ผ่านมา เรื่อง “โปรแกรมข่าวกรองภัยคุกคามที่ขับเคลื่อนด้วย LLM มีลักษณะอย่างไรMiller และ Ron Graf นักวิทยาศาสตร์ข้อมูลในทีมวิเคราะห์ข่าวกรองที่ Google Cloud ของ Mandiant จะสาธิตด้านที่ LLM สามารถเพิ่มศักยภาพให้กับพนักงานรักษาความปลอดภัยเพื่อเพิ่มความเร็วและการวิเคราะห์ความปลอดภัยทางไซเบอร์ที่ลึกซึ้งยิ่งขึ้น

สามส่วนผสมของข่าวกรองภัยคุกคาม

ผู้เชี่ยวชาญด้านความปลอดภัยที่ต้องการสร้างความสามารถด้านข่าวกรองภัยคุกคามที่แข็งแกร่งสำหรับองค์กรของตนจำเป็นต้องมีองค์ประกอบสามส่วนเพื่อสร้างฟังก์ชันข่าวกรองภัยคุกคามภายในให้ประสบความสำเร็จ Miller กล่าวกับ Dark Reading พวกเขาต้องการข้อมูลเกี่ยวกับภัยคุกคามที่เกี่ยวข้อง ความสามารถในการประมวลผลและสร้างมาตรฐานข้อมูลนั้นให้เป็นประโยชน์ และความสามารถในการตีความว่าข้อมูลนั้นเกี่ยวข้องกับข้อกังวลด้านความปลอดภัยอย่างไร

พูดง่ายกว่าทำ เพราะทีมข่าวกรองภัยคุกคามหรือบุคคลที่รับผิดชอบข่าวกรองภัยคุกคามมักจะเต็มไปด้วยข้อมูลหรือคำขอจากผู้มีส่วนได้ส่วนเสีย อย่างไรก็ตาม LLMs สามารถช่วยลดช่องว่างได้ ทำให้กลุ่มอื่นๆ ในองค์กรสามารถขอข้อมูลด้วยข้อความค้นหาภาษาธรรมชาติและรับข้อมูลในภาษาที่ไม่ใช่ภาษาทางเทคนิคได้ เขากล่าว คำถามทั่วไป ได้แก่ แนวโน้มของภัยคุกคามเฉพาะด้าน เช่น แรนซัมแวร์ หรือเมื่อบริษัทต้องการทราบเกี่ยวกับภัยคุกคามในตลาดเฉพาะ

“ผู้นำที่ประสบความสำเร็จในการเพิ่มหน่วยสืบราชการลับด้านภัยคุกคามด้วยความสามารถที่ขับเคลื่อนด้วย LLM สามารถวางแผนเพื่อผลตอบแทนจากการลงทุนที่สูงขึ้นจากฟังก์ชันข่าวกรองด้านภัยคุกคามได้” มิลเลอร์กล่าว “สิ่งที่ผู้นำสามารถคาดหวังได้ในขณะที่พวกเขากำลังคิดไปข้างหน้า และสิ่งที่หน่วยงานข่าวกรองในปัจจุบันสามารถทำได้คือการสร้างความสามารถที่สูงขึ้นด้วยทรัพยากรเดียวกันเพื่อให้สามารถตอบคำถามเหล่านั้นได้”

AI ไม่สามารถแทนที่นักวิเคราะห์ของมนุษย์ได้

องค์กรที่ใช้ LLM และข่าวกรองด้านภัยคุกคามที่เสริมด้วย AI จะมีความสามารถที่ดีขึ้นในการแปลงและใช้ประโยชน์จากชุดข้อมูลความปลอดภัยระดับองค์กรที่ไม่ถูกนำไปใช้ ยังมีข้อผิดพลาด. การใช้ LLM เพื่อสร้างการวิเคราะห์ภัยคุกคามที่สอดคล้องกันสามารถช่วยประหยัดเวลาได้ แต่ยังสามารถนำไปสู่ "ภาพหลอน" ที่อาจเกิดขึ้น - ข้อบกพร่องของ LLM ที่ซึ่งระบบจะสร้างการเชื่อมต่อที่ไม่มีหรือสร้างคำตอบโดยสิ้นเชิง เนื่องจากได้รับการฝึกอบรมเกี่ยวกับข้อมูลที่ไม่ถูกต้องหรือขาดหายไป

“หากคุณใช้ผลลัพธ์ของโมเดลในการตัดสินใจเกี่ยวกับความปลอดภัยของธุรกิจของคุณ คุณก็ต้องการยืนยันได้ว่ามีคนดูข้อมูลนั้นแล้ว โดยสามารถรับรู้ได้ว่ามีข้อผิดพลาดพื้นฐานหรือไม่ มิลเลอร์ของ Google Cloud กล่าว “คุณต้องแน่ใจได้ว่าคุณมีผู้เชี่ยวชาญที่มีคุณสมบัติครบถ้วน ซึ่งสามารถพูดเพื่อประโยชน์ของข้อมูลเชิงลึกในการตอบคำถามเหล่านั้นหรือในการตัดสินใจเหล่านั้น”

ปัญหาดังกล่าวไม่สามารถแก้ไขได้ Graf ของ Google Cloud กล่าว องค์กรต่างๆ สามารถเชื่อมโยงแบบจำลองการแข่งขันเข้าด้วยกันเพื่อตรวจสอบความสมบูรณ์และลดอัตราการเกิดภาพหลอน นอกจากนี้ การถามคำถามด้วยวิธีที่เหมาะสมที่สุด ซึ่งเรียกว่า "วิศวกรรมพร้อมท์" สามารถนำไปสู่คำตอบที่ดีขึ้น หรืออย่างน้อยก็เป็นคำถามที่สอดคล้องกับความเป็นจริงมากที่สุด

อย่างไรก็ตาม การให้ AI จับคู่กับมนุษย์เป็นวิธีที่ดีที่สุด Graf กล่าว

“เรามีความเห็นว่าแนวทางที่ดีที่สุดคือการรวมมนุษย์เข้าไว้ด้วยกัน” เขากล่าว “และนั่นจะส่งผลให้มีการปรับปรุงประสิทธิภาพขั้นปลายอยู่ดี ดังนั้นองค์กรจึงยังคงได้รับผลประโยชน์”

วิธีการเสริมนี้ได้รับแรงฉุดเช่น บริษัทด้านความปลอดภัยทางไซเบอร์ได้เข้าร่วม บริษัทอื่นๆ ในการสำรวจวิธีการเปลี่ยนความสามารถหลักของพวกเขาด้วย LLM ขนาดใหญ่ ในเดือนมีนาคม ตัวอย่างเช่น Microsoft เปิดตัว Security Copilot เพื่อช่วยทีมรักษาความปลอดภัยทางไซเบอร์ตรวจสอบการละเมิดและค้นหาภัยคุกคาม และในเดือนเมษายน บริษัทข่าวกรองภัยคุกคาม Recorded Future ได้เปิดตัวความสามารถที่ปรับปรุง LLM โดยพบว่าความสามารถของระบบในการเปลี่ยนข้อมูลจำนวนมหาศาลหรือการค้นหาเชิงลึกให้เป็นรายงานสรุปง่ายๆ สองหรือสามประโยคสำหรับนักวิเคราะห์นั้นช่วยประหยัดเวลาได้มาก ผู้เชี่ยวชาญด้านความปลอดภัย

“โดยพื้นฐานแล้ว ข้อมูลภัยคุกคาม ฉันคิดว่าเป็นปัญหา 'บิ๊กดาต้า' และคุณต้องมองเห็นอย่างครอบคลุมในทุกระดับของการโจมตี เข้าสู่ผู้โจมตี โครงสร้างพื้นฐาน และบุคคลที่พวกเขากำหนดเป้าหมาย” Jamie Zajac กล่าว รองประธานฝ่ายผลิตภัณฑ์ของ Recorded Future ซึ่งกล่าวว่า AI ช่วยให้มนุษย์มีประสิทธิภาพมากขึ้นในสภาพแวดล้อมนั้น “เมื่อคุณมีข้อมูลทั้งหมดนี้ คุณจะมีปัญหาว่า 'คุณจะสังเคราะห์ข้อมูลนี้ให้เป็นประโยชน์ได้อย่างไร' และเราพบว่าการใช้หน่วยสืบราชการลับของเราและการใช้โมเดลภาษาขนาดใหญ่ … เริ่มช่วย [นักวิเคราะห์ของเรา] ชั่วโมงแล้วชั่วโมงเล่า เวลา."

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/black-hat/ai-augmented-threat-intelligence-solves-security-shortfalls