Як доповнений штучним інтелектом аналіз загроз усуває недоліки безпеки

Як доповнений штучним інтелектом аналіз загроз усуває недоліки безпеки

Мітка часу: 17 липня 2023 р., 6:04
Як доповнений штучним інтелектом аналіз загроз усуває недоліки безпеки PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Команди безпеки та аналізу загроз хронічно не укомплектовані, перевантажені даними та мають справу з конкуруючими вимогами — усі проблеми, які можуть допомогти вирішити системи великомовної моделі (LLM). Але брак досвіду роботи з системами стримує багато компаній від впровадження цієї технології.

Організації, які впроваджують LLMs, зможуть краще синтезувати інформацію з необроблених даних і поглибити свої можливості аналізу загроз, але такі програми потребують підтримки з боку керівництва служби безпеки, щоб бути правильно сфокусованими. Команди повинні впроваджувати LLM для вирішення проблем, і перш ніж вони зможуть це зробити, їм потрібно оцінити корисність LLM в середовищі організації, говорить Джон Міллер, керівник групи аналізу інтелекту Mandiant.

«Ми прагнемо допомогти організаціям подолати невизначеність, тому що історій успіху чи невдач ще не так багато», — каже Міллер. «Поки що немає відповідей, які ґрунтувалися б на звичайному досвіді, і ми хочемо створити основу для роздумів про те, як найкраще очікувати на такі запитання про вплив».

У презентації на Чорний капелюх США на початку серпня під назвою «Як виглядає програма аналізу загроз на базі LLM?”, Міллер і Рон Граф, дослідники даних у групі розвідки-аналітики в Mandiant's Google Cloud, продемонструють сфери, де магістри можуть посилити роботу працівників служби безпеки, щоб пришвидшити та поглибити аналіз кібербезпеки.

Три складові аналізу загроз

Фахівцям із безпеки, які хочуть створити для своєї організації потужну функцію аналізу загроз, потрібні три компоненти для успішного створення внутрішньої функції аналізу загроз, розповідає Міллер Dark Reading. Їм потрібні дані про актуальні загрози; здатність обробляти та стандартизувати ці дані, щоб вони були корисними; і здатність інтерпретувати, як ці дані стосуються питань безпеки.

Це легше сказати, ніж зробити, оскільки групи аналізу загроз — або особи, відповідальні за аналіз загроз — часто переповнені даними або запитами від зацікавлених сторін. Проте LLM можуть допомогти подолати розрив, дозволяючи іншим групам в організації запитувати дані за допомогою запитів природною мовою та отримувати інформацію нетехнічною мовою, каже він. Поширені запитання включають тенденції в певних сферах загроз, наприклад програми-вимагачі, або коли компанії хочуть знати про загрози на певних ринках.

«Керівники, яким вдалося розширити свої дані про загрози за допомогою можливостей, керованих LLM, можуть загалом планувати вищий прибуток від своєї функції аналізу загроз», — каже Міллер. «Чого може очікувати лідер, коли він думає про майбутнє, і що може зробити його поточна розвідувальна функція, це створити більший потенціал з тими самими ресурсами, щоб мати можливість відповісти на ці запитання».

ШІ не може замінити людей-аналітиків

Організації, які використовують LLMs і доповнений штучним інтелектом аналіз загроз, матимуть покращену здатність трансформувати та використовувати набори даних безпеки підприємства, які інакше залишилися б невикористаними. Проте є підводні камені. Покладаючись на LLM для проведення узгодженого аналізу загроз, можна заощадити час, але також може, наприклад, призвести до потенційні «галюцинації» — недолік LLM де система створюватиме з’єднання там, де їх немає, або повністю фабрикуватиме відповіді завдяки навчанню на неправильних або відсутніх даних.

«Якщо ви покладаєтеся на вихідні дані моделі, щоб прийняти рішення щодо безпеки вашого бізнесу, тоді ви хочете мати можливість підтвердити, що хтось переглянув її, маючи можливість розпізнати, чи є якісь фундаментальні помилки, – каже Міллер із Google Cloud. «Ви повинні бути в змозі переконатися, що у вас є кваліфіковані експерти, які можуть говорити про корисність розуміння для відповідей на ці запитання або прийняття цих рішень».

Такі проблеми не є непереборними, каже Граф з Google Cloud. Організації можуть об’єднати конкуруючі моделі, щоб по суті виконувати перевірки цілісності та зменшувати рівень галюцинацій. Крім того, постановка запитань оптимізованими способами — так звана «оперативна інженерія» — може призвести до кращих відповідей або, принаймні, таких, які найбільше відповідають дійсності.

Проте, як каже Граф, найкращий спосіб тримати ШІ в парі з людиною.

«Ми вважаємо, що найкращий підхід — просто включити людей у ​​цикл», — каже він. «І це в будь-якому випадку призведе до покращення продуктивності, тому організації все ще отримують переваги».

Такий підхід до розширення набирає популярності, як приєдналися фірми з кібербезпеки інших компаній у дослідженні шляхів трансформації своїх основних можливостей за допомогою великих LLM. У березні, наприклад, Microsoft запустив Security Copilot щоб допомогти групам кібербезпеки розслідувати порушення та шукати загрози. А в квітні фірма з аналізу загроз Recorded Future представила розширену функцію LLM, виявивши, що здатність системи перетворювати величезні дані або глибокий пошук у простий підсумковий звіт із двох або трьох речень для аналітика заощадила значну кількість часу для своїх спеціалістів із безпеки.

«По суті, розвідка про загрози, я вважаю, є проблемою «великих даних», і вам потрібно мати широке бачення всіх рівнів атаки на зловмисника, інфраструктуру та людей, на яких вони спрямовані», — говорить Джеймі Заяк, віце-президент із продуктів у Recorded Future, який каже, що штучний інтелект дозволяє людям просто бути більш ефективними в цьому середовищі. «Якщо у вас є всі ці дані, у вас виникає проблема: «Як ви насправді синтезуєте їх у щось корисне?», і ми виявили, що використання нашого інтелекту та використання великих мовних моделей … почало економити [нашим аналітикам] години й години час».

Часова мітка:

Більше від Темне читання