Como a inteligência de ameaças aumentada por IA resolve as deficiências de segurança

Views: 245
0 0
Read Time:4 Minute, 54 Second

As equipes de operações de segurança e inteligência contra ameaças estão cronicamente com poucos funcionários, sobrecarregadas com dados e lidando com demandas concorrentes — todos os problemas que os sistemas de modelo de linguagem grande (LLM) podem ajudar a solucionar. Mas a falta de experiência com os sistemas está impedindo muitas empresas de adotar a tecnologia.

As organizações que implementam LLMs poderão sintetizar melhor a inteligência a partir de dados brutos e aprofundar seus recursos de inteligência contra ameaças , mas esses programas precisam do apoio da liderança de segurança para serem focados corretamente. As equipes devem implementar LLMs para problemas solucionáveis ​​e, antes que possam fazer isso, precisam avaliar a utilidade dos LLMs no ambiente de uma organização, diz John Miller, chefe do grupo de análise de inteligência da Mandiant.

“O que pretendemos é ajudar as organizações a lidar com a incerteza, porque ainda não existem muitas histórias de sucesso ou de fracasso”, diz Miller. “Ainda não há respostas baseadas na experiência rotineiramente disponível, e queremos fornecer uma estrutura para pensar sobre a melhor forma de aguardar esses tipos de perguntas sobre o impacto”.

Em uma apresentação na Black Hat USA no início de agosto, intitulada ” What Does an LLM-Powered Threat Intelligence Program Look Like? “, Miller e Ron Graf, um cientista de dados da equipe de análise de inteligência do Google Cloud da Mandiant, demonstrarão as áreas onde os LLMs podem aumentar os trabalhadores de segurança para acelerar e aprofundar a análise de segurança cibernética.

Três ingredientes da inteligência de ameaças

Os profissionais de segurança que desejam criar uma forte capacidade de inteligência de ameaças para sua organização precisam de três componentes para criar com sucesso uma função de inteligência de ameaças interna, disse Miller à Dark Reading. Eles precisam de dados sobre as ameaças que são relevantes; a capacidade de processar e padronizar esses dados para que sejam úteis; e a capacidade de interpretar como esses dados se relacionam com questões de segurança.

É mais fácil dizer do que fazer, porque as equipes de inteligência de ameaças — ou indivíduos encarregados da inteligência de ameaças — geralmente ficam sobrecarregadas com dados ou solicitações das partes interessadas. No entanto, os LLMs podem ajudar a preencher a lacuna, permitindo que outros grupos na organização solicitem dados com consultas em linguagem natural e obtenham as informações em linguagem não técnica, diz ele. As perguntas comuns incluem tendências em áreas específicas de ameaças, como ransomware, ou quando as empresas desejam saber sobre ameaças em mercados específicos.

“Os líderes que conseguem aumentar sua inteligência de ameaças com recursos baseados em LLM podem basicamente planejar um maior retorno sobre o investimento de sua função de inteligência de ameaças”, diz Miller. “O que um líder pode esperar ao pensar no futuro, e o que sua função de inteligência atual pode fazer, é criar maior capacidade com os mesmos recursos para poder responder a essas perguntas.”

AI não pode substituir analistas humanos

As organizações que adotam LLMs e inteligência de ameaças aumentada por IA terão uma capacidade aprimorada de transformar e usar conjuntos de dados de segurança corporativa que, de outra forma, seriam inexplorados. No entanto, existem armadilhas . Confiar em LLMs para produzir análises de ameaças coerentes pode economizar tempo, mas também pode, por exemplo, levar a possíveis “alucinações” – uma deficiência dos LLMs em que o sistema criará conexões onde não há nenhuma ou fabricará respostas inteiramente, graças ao treinamento em dados incorretos ou ausentes.

“Se você está contando com a saída de um modelo para tomar uma decisão sobre a segurança do seu negócio, então você quer ser capaz de confirmar que alguém o examinou, com a capacidade de reconhecer se há algum erro fundamental, ” diz Miller do Google Cloud. “Você precisa ter certeza de que possui especialistas qualificados, que podem falar sobre a utilidade do insight para responder a essas perguntas ou tomar essas decisões.”

Esses problemas não são intransponíveis, diz Graf, do Google Cloud. As organizações podem ter modelos concorrentes encadeados para essencialmente fazer verificações de integridade e reduzir a taxa de alucinações. Além disso, fazer perguntas de maneira otimizada — a chamada “engenharia imediata” — pode levar a respostas melhores, ou pelo menos as mais sintonizadas com a realidade.

Manter uma IA emparelhada com um humano, no entanto, é a melhor maneira, diz Graf.

“É nossa opinião que a melhor abordagem é apenas incluir os humanos no circuito”, diz ele. “E isso vai render melhorias de desempenho downstream de qualquer maneira, então as organizações ainda estão colhendo os benefícios.”

Essa abordagem de aumento vem ganhando força, pois as empresas de segurança cibernética se juntaram a outras empresas na exploração de maneiras de transformar seus principais recursos com grandes LLMs. Em março, por exemplo, a Microsoft lançou o Security Copilot para ajudar as equipes de segurança cibernética a investigar violações e caçar ameaças. E em abril, a empresa de inteligência de ameaças Recorded Future lançou um recurso aprimorado de LLM, descobrindo que a capacidade do sistema de transformar dados vastos ou pesquisas profundas em um relatório resumido simples de duas ou três frases para o analista economizou uma quantidade significativa de tempo para seus profissionais de segurança.

“Fundamentalmente, a inteligência de ameaças, eu acho, é um problema de ‘Big Data’, e você precisa ter ampla visibilidade de todos os níveis do ataque para o atacante, para a infraestrutura e para as pessoas que visam”, diz Jamie Zajac, vice-presidente de produto da Recorded Future, que diz que a IA permite que os humanos sejam simplesmente mais eficazes nesse ambiente. “Uma vez que você tem todos esses dados, você tem o problema de ‘como você realmente sintetiza isso em algo útil?’, e descobrimos que usar nossa inteligência e usar grandes modelos de linguagem… horas de tempo.”

FONTE: DARKREADING

POSTS RELACIONADOS