Dirbtinis intelektas (AI) yra žmogaus intelekto modeliavimas mašinose, leidžiantis sistemoms mokytis iš duomenų, atpažinti modelius ir priimti sprendimus. Šie sprendimai gali apimti rezultatų numatymą, procesų automatizavimą ir anomalijų aptikimą. Didelių kalbų modeliai (LLM) yra specializuoti AI modeliai, skirti apdoroti, suprasti ir generuoti žmogaus tipo tekstą.
Didelių kalbos modeliai (LLM) yra mokomi įvairių ir išsamių tekstinių duomenų. Jie yra skirti suprasti kalbą ir pritaikyti žinias daugelyje sričių. LLMS, tokios kaip GPT-4 ir Claude 3.5 Haiku, yra skirtos suprasti, generuoti ir manipuliuoti žmonių kalba.
Šiame straipsnyje nagrinėjame naudą ir galimybes, kurias saugumo specialistai gali įgyti įgyvendindami LLM varomą saugumo asistentą. LLMS gali praturtinti saugumo duomenis saugumo informacijos ir įvykių valdymo (SIEM) arba išplėstinės aptikimo ir atsakymo (XDR) platformoje. Tokia integracija gali palaikyti specialistus, susijusius su tokiomis užduotimis kaip žurnalo analizė, incidentų trigubas, pasirinktinių taisyklių kūrimas ir bendrų saugumo įžvalgų tobulinimas.
LLMS saugumo operacijose
Saugumo operacijos (SECOPS) apima kibernetinio saugumo rizikos mažinimo, kibernetinio saugumo rizikos mažinimą ir prižiūrėjimą organizacijos IT sistemose. Ši praktika sujungia žmones, procesus ir technologijas, skirtas apsiginti nuo kibernetinių grėsmių.
Ši veikla yra valdoma saugumo operacijų centre (SOC), kur skirtas komanda analizuoja saugumo įspėjimus, tiria galimus įvykius ir reaguoja į grėsmes realiuoju laiku. Saugumo analitikai naudoja įvairius įrankius, įskaitant SIEM ir XDR, kad padėtų atlikti šias užduotis.
LLM yra naudojamos teksto generavimui, vertimui, apibendrinimui ir klausimų kūrimo užduotims. Dėl jų universalumo jie buvo vertingi įvairiose pramonės šakose, įskaitant kibernetinį saugumą, įgalinantį greitesnį grėsmės aptikimą, automatinę analizę ir intelektualų sprendimų priėmimą.
Galimos keli LLM, kiekvienas iš jų turi unikalias stipriąsias puses, pradedant „Chatbot“ sąveika ir baigiant įmonės automatizavimu ir kūrybinio turinio generavimu. Kai kurie populiarūs LLM pavyzdžiai yra::
- Openai GPT
- Claude'as (antropinis)
- „Google Dvyniai“
- Tikslo skambutis
- Mistral, kurią turite
- Žydėjimas („BigScience“)
- Deepseek
Pasinaudokite LLMS kaip padėjėjais saugumo specialistams
Tradiciškai saugumo operacijų analitikai remiasi savo komandos tyrimais, patirtimi ir kolektyvinėmis žiniomis, kad aptiktų ir reaguotų į kibernetinę grėsmę. Tačiau nuolat keičiant grėsmės kraštovaizdį, profesionalai siekia subalansuoti savo patirtį su AI siūlomu padidinimu.
Mes nagrinėjame keletą būdų, kaip LLMS taikomi saugumo analitiko kasdienėse užduotyse:
1. Žurnalų analizė ir duomenų praturtinimas: Tokios apmokytos LLM, kaip „ChatGPT“, gali interpretuoti kitų saugumo sprendimų išvestį, aptikę kenkėjiškos veiklos modelius ar parašus. Jie taip pat gali praturtinti saugumo įspėjimus ir analizuoti teksto aprašymus, kad padėtų analitikams sutvarkyti ir apibendrinti incidentus. Nors LLMS dar negali tvarkyti didelio masto žurnalo analizės ar sudėtingos įvykių koreliacijos, jos yra labai veiksmingos atliekant mažesnes užduotis, palaikančias analitiko darbo eigą.
2. Grėsmės žvalgybos integracija: LLMS gali padėti apdorojant ir apibendrinant išorines ataskaitas arba koreliuodamas taktiką, metodus ir procedūras (TTP) iš grėsmės tiekimų. Jie gali pateikti apibendrintas kontekstines įžvalgas, išvertus nestruktūrizuotus forumų ir tamsiojo žiniatinklio pokalbių duomenis, todėl grėsmės žvalgybos duomenys yra labiau virškinami saugumo komandoms. Tai taip pat gali sustiprinti analitiko supratimą apie kylančias grėsmes ir pasiūlyti taisyklių kūrimo strategijas. Pavyzdžiui, Claude Haiku yra modelis, specialiai sureguliuotas kūrybinei ir glaustai kalbų generavimui. Tai daro jį ypač efektyviu maitinant vartotojams skirtas programas.
3. Kontekstinės taisymo rekomendacijos: Atsižvelgiant į jos sugebėjimą suprasti su saugumu susijusias užklausas, LLM gali pasiūlyti ištaisymo veiksmus, pagrįstus saugumo incidentų kontekstu. Tai leis saugumo analitikams lengviau suprasti ir veikti ištaisymo veiksmus be gilių kompetencijų.
4. Sukčiavimo aptikimas: LLMS gali skaityti ir suprasti el. Pašto tekstą, pavyzdžiui, žmonės, skirtingai nuo tradicinių raktinių žodžių pagrįstų filtrų. Jie analizuoja toną, gramatiką ir kontekstą, kurie yra svarbūs veiksniai nustatant sukčiavimo el. Laiškus. Integracija į el. Pašto apsaugos sprendimus gali padėti išvengti sudėtingo verslo el. Pašto kompromisų (BEC) ir ietis, realiuoju laiku.
Svarbu pažymėti, kad visi LLM sugeneruoti atsakymai turėtų būti peržiūrėti, nes jie kartais gali būti netikslūs. Nepaisant tam tikrų apribojimų, LLMS teikia vertę saugumo operacijoms, sumažindamos rankines pastangas ir siūlydamos vertingą pagalbą saugumo analitikams.
LLMS integravimas kaip kibernetinio saugumo padėjėjų, naudojančių „Wazuh“
„Wazuh“ yra atvirojo kodo saugumo platforma, padedanti organizacijoms nustatyti ir reaguoti į saugumo grėsmes stebint sistemos veiklą. „Wazuh“ gali integruoti su įvairiomis LLM, kad padėtų saugumo operacijoms kurti saugumo specialistų kibernetinio saugumo asistentą.
Žemiau pateikiami naudojimo atvejai iliustruoja, kaip tokios integracijos būtų įgyvendintos praktikoje.
Grėsmės aptikimas ir perspėjimo praturtinimas
LLMS gali praturtinti įspėjimus, kuriuos sukuria kiti grėsmės aptikimo sprendimai, tokie kaip „Yara“, atvirojo kodo įrankis kenkėjiškoms programoms nustatyti ir klasifikuoti.
Remiantis šiuo koncepcijos įrodymu, „Wazuh Active Response“ modulis naudoja „ChatGPt“, kad praturtintų „Yara“ nuskaitymo rezultatus, pateikdamas papildomos informacijos apie aptiktą grėsmę. Norėdami tai pasiekti, „Wazuh“ failų vientisumo stebėjimas nuolat stebi konkrečius katalogus, esančius bet kokiuose papildymuose ar modifikacijose.
Jei kenkėjiškas failas atsisiunčiamas į vieną iš stebimų aplankų, FIM modulis nustato pakeitimą ir suaktyvina „Wazuh Active Response“ modulį. Tada šis modulis atlieka „Yara“ nuskaitymą, kad išanalizuotų failą, kad būtų galima gauti galimų grėsmių.
Kai Yara nustato kenksmingą failą, „ChatGpt“ praturtina perspėjimą su informacija apie aptiktą grėsmę, padedant saugumo komandoms geriau suprasti ir reaguoti į šį įvykį. Tada identifikuoti kenkėjiški failai ištrynami naudojant „Wazuh Active Response“.
Žemiau esančiame paveikslėlyje „ChatGpt“ suteikia daugiau konteksto kenksmingam failui, kurį aptiko YARA.
Tinklaraščio įraše „NMAP“ ir „ChatGPT“ saugumo auditas su „Wazuh“ rodo dar vieną naudojimo atvejį, kaip pagerinti organizacijos saugumo laikyseną praturtinant saugumo įspėjimus.
Šiame tinklaraščio įraše „ChatGPT“ naudojamas suteikti daugiau informacijos apie nuskaitymo ataskaitas iš NMAP („Network Mapper“).
Saugumo operacijų virtualūs asistentai
Šiuo naudojimo atveju „Claude Haiku LLM“ yra integruota su „Wazuh“, kad būtų galima pateikti pokalbių sąsają „Wazuh“ prietaisų skydelyje. Tai leidžia vartotojams užklausti su saugumu susijusių klausimų modelį, teikiant kontekstines įžvalgas ir pagreitinti sprendimų priėmimo procesą grėsmės tyrimo metu.
Šios integracijos pasitelkia natūralios kalbos apdorojimą (NLP), kad teiktų žvalgybos pagalbą.
Žemiau pateiktame paveikslėlyje parodytas atsakymas, kurį sukuria „Claude Haiku LLM“, integruota su „Wazuh“ prietaisų skydeliu. Tai parodo atsakymą į užklausą: „Koks yra mitro ID užmaskuoti?“
Išvada
Integruojant LLMS su saugumo operacijų procesais ir sprendimais, padidins saugumo komandos siūlomą vertę, sumažindama analitikų darbo krūvį ir pagreitinant sprendimų priėmimą atliekant grėsmę.
Tai taip pat pagerins organizacijos saugumo laikyseną ir eksploatavimo efektyvumą, suteikiant įgalinant iniciatyvius gynybos mechanizmus.
Sužinokite daugiau apie Wazuh.
Rėmė ir parašė Wazuh.
