Cách trí thông minh về mối đe dọa được tăng cường bởi AI giải quyết các thiếu sót về bảo mật

Các nhóm điều hành bảo mật và tình báo về mối đe dọa luôn thiếu nhân sự, quá tải dữ liệu và phải đối phó với các nhu cầu cạnh tranh — tất cả các vấn đề mà hệ thống mô hình ngôn ngữ lớn (LLM) có thể giúp khắc phục. Nhưng việc thiếu kinh nghiệm với các hệ thống đang cản trở nhiều công ty áp dụng công nghệ này.

Các tổ chức triển khai LLM sẽ có thể tổng hợp thông tin tình báo tốt hơn từ dữ liệu thô và tăng cường khả năng tình báo mối đe dọa của họ, nhưng những chương trình như vậy cần có sự hỗ trợ từ lãnh đạo bảo mật để tập trung chính xác. John Miller, người đứng đầu nhóm phân tích tình báo của Mandiant cho biết, các nhóm nên triển khai LLM cho các vấn đề có thể giải quyết được và trước khi có thể làm điều đó, họ cần đánh giá tiện ích của LLM trong môi trường của tổ chức.

Miller nói: “Điều chúng tôi hướng tới là giúp các tổ chức điều hướng sự không chắc chắn, bởi vì vẫn chưa có nhiều câu chuyện thành công hay thất bại. “Chưa có câu trả lời thực sự nào dựa trên kinh nghiệm sẵn có thường xuyên và chúng tôi muốn cung cấp một khuôn khổ để suy nghĩ về cách mong đợi tốt nhất những loại câu hỏi đó về tác động.”

Trong một bài thuyết trình tại Mũ đen Mỹ vào đầu tháng XNUMX, với tựa đề “Chương trình thông minh về mối đe dọa do LLM cung cấp trông như thế nào?,” Miller và Ron Graf, một nhà khoa học dữ liệu trong nhóm phân tích thông tin tình báo tại Google Cloud của Mandiant, sẽ chứng minh các lĩnh vực mà LLM có thể hỗ trợ nhân viên bảo mật để tăng tốc và đào sâu phân tích an ninh mạng.

Ba thành phần của thông tin tình báo về mối đe dọa

Miller nói với Dark Reading, các chuyên gia bảo mật muốn tạo khả năng thông minh về mối đe dọa mạnh mẽ cho tổ chức của họ cần ba thành phần để tạo thành công chức năng thông minh về mối đe dọa nội bộ. Họ cần dữ liệu về các mối đe dọa có liên quan; khả năng xử lý và chuẩn hóa dữ liệu đó sao cho hữu ích; và khả năng diễn giải cách dữ liệu đó liên quan đến các vấn đề bảo mật.

Điều đó nói thì dễ hơn làm, bởi vì các nhóm tình báo về mối đe dọa — hoặc các cá nhân chịu trách nhiệm về tình báo về mối đe dọa — thường bị quá tải với dữ liệu hoặc yêu cầu từ các bên liên quan. Tuy nhiên, LLM có thể giúp thu hẹp khoảng cách, cho phép các nhóm khác trong tổ chức yêu cầu dữ liệu bằng các truy vấn ngôn ngữ tự nhiên và nhận thông tin bằng ngôn ngữ phi kỹ thuật, ông nói. Các câu hỏi phổ biến bao gồm xu hướng trong các lĩnh vực đe dọa cụ thể, chẳng hạn như mã độc tống tiền hoặc khi các công ty muốn biết về các mối đe dọa ở các thị trường cụ thể.

Miller cho biết: “Các nhà lãnh đạo thành công trong việc tăng cường trí thông minh về mối đe dọa của họ bằng các khả năng dựa trên LLM về cơ bản có thể lập kế hoạch để đạt được lợi tức đầu tư cao hơn từ chức năng thông tin về mối đe dọa của họ. “Điều mà một nhà lãnh đạo có thể mong đợi khi họ suy nghĩ về phía trước và chức năng tình báo hiện tại của họ có thể làm là tạo ra năng lực cao hơn với cùng nguồn lực để có thể trả lời những câu hỏi đó.”

AI không thể thay thế các nhà phân tích con người

Các tổ chức sử dụng LLM và trí thông minh về mối đe dọa được tăng cường bởi AI sẽ có khả năng cải thiện để chuyển đổi và sử dụng các bộ dữ liệu bảo mật doanh nghiệp mà nếu không sẽ không được khai thác. Tuy nhiên, có những cạm bẫy. Dựa vào LLM để tạo ra phân tích mối đe dọa nhất quán có thể tiết kiệm thời gian, nhưng cũng có thể dẫn đến "ảo giác" tiềm năng - một thiếu sót của LLM trong đó hệ thống sẽ tạo ra các kết nối không có câu trả lời nào hoặc bịa đặt hoàn toàn, nhờ được đào tạo về dữ liệu không chính xác hoặc bị thiếu.

“Nếu bạn đang dựa vào kết quả của một mô hình để đưa ra quyết định về tính bảo mật cho doanh nghiệp của mình, thì bạn muốn có thể xác nhận rằng ai đó đã xem xét nó, với khả năng nhận ra nếu có bất kỳ lỗi cơ bản nào, ” Miller của Google Cloud nói. “Bạn cần có khả năng đảm bảo rằng bạn có những chuyên gia đủ tiêu chuẩn, những người có thể nói về tiện ích của hiểu biết sâu sắc trong việc trả lời những câu hỏi đó hoặc đưa ra những quyết định đó.”

Graf của Google Cloud cho biết những vấn đề như vậy không phải là không thể vượt qua. Các tổ chức có thể có các mô hình cạnh tranh được kết nối với nhau để thực hiện kiểm tra tính toàn vẹn và giảm tỷ lệ ảo giác. Ngoài ra, đặt câu hỏi theo những cách tối ưu hóa - được gọi là “kỹ thuật nhanh” - có thể dẫn đến câu trả lời tốt hơn hoặc ít nhất là những câu trả lời phù hợp nhất với thực tế.

Tuy nhiên, giữ một AI kết hợp với con người là cách tốt nhất, Graf nói.

“Theo ý kiến ​​của chúng tôi, cách tiếp cận tốt nhất là đưa con người vào vòng lặp,” anh nói. “Và điều đó dù sao cũng sẽ mang lại những cải tiến về hiệu suất hạ lưu, vì vậy các tổ chức vẫn đang gặt hái những lợi ích.”

Cách tiếp cận tăng cường này đã đạt được lực kéo, như các công ty an ninh mạng đã tham gia các công ty khác trong việc khám phá các cách để chuyển đổi năng lực cốt lõi của họ với các LLM lớn. Ví dụ, vào tháng XNUMX, Microsoft ra mắt Security Copilot để giúp các nhóm an ninh mạng điều tra các vi phạm và tìm kiếm các mối đe dọa. Và vào tháng XNUMX, công ty tình báo mối đe dọa Recorded Future đã ra mắt khả năng nâng cao LLM, phát hiện ra rằng khả năng biến dữ liệu lớn hoặc tìm kiếm sâu của hệ thống thành một báo cáo tóm tắt hai hoặc ba câu đơn giản cho nhà phân tích đã tiết kiệm một lượng thời gian đáng kể cho các chuyên gia bảo mật của nó.

Jamie Zajac cho biết: “Tôi nghĩ về cơ bản, trí thông minh về mối đe dọa là một vấn đề về 'Dữ liệu lớn' và bạn cần phải có tầm nhìn bao quát về tất cả các cấp độ của cuộc tấn công vào kẻ tấn công, vào cơ sở hạ tầng và vào những người mà chúng nhắm mục tiêu. phó chủ tịch phụ trách sản phẩm của Recorded Future, người nói rằng AI cho phép con người trở nên hiệu quả hơn trong môi trường đó. “Sau khi bạn có tất cả dữ liệu này, bạn sẽ gặp vấn đề là 'làm thế nào để bạn thực sự tổng hợp dữ liệu này thành thứ gì đó hữu ích?', và chúng tôi nhận thấy rằng việc sử dụng trí thông minh của mình và sử dụng các mô hình ngôn ngữ lớn … đã bắt đầu tiết kiệm hàng giờ cho [các nhà phân tích của chúng tôi] thời gian."

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/black-hat/ai-augmented-threat-intelligence-solves-security-shortfalls