Güvenlik operasyonları ve tehdit istihbaratı ekipleri kronik olarak yetersiz kadroya sahip, verilerle dolup taşmış durumda ve birbiriyle yarışan taleplerle uğraşıyor; tüm bunlar, büyük dil modeli (LLM) sistemlerinin çözülmesine yardımcı olabilir. Ancak sistemlerle ilgili deneyim eksikliği, birçok şirketin teknolojiyi benimsemesini engelliyor.
LLM’leri uygulayan kuruluşlar, ham verilerden istihbaratı daha iyi sentezleyebilecek ve tehdit istihbaratı yeteneklerini derinleştirebilecek, ancak bu tür programların doğru bir şekilde odaklanabilmesi için güvenlik liderliğinin desteğine ihtiyacı var. Mandiant’ın istihbarat analiz grubu başkanı John Miller, ekiplerin çözülebilir problemler için LLM’leri uygulaması gerektiğini ve bunu yapmadan önce, LLM’lerin bir kuruluşun ortamındaki faydasını değerlendirmeleri gerektiğini söylüyor.
Miller, “Hedefimiz, kuruluşların belirsizliği aşmasına yardımcı olmaktır, çünkü henüz pek çok başarı öyküsü veya başarısızlık öyküsü yok,” diyor. “Henüz rutin olarak mevcut deneyime dayanan gerçek yanıtlar yok ve etkiyle ilgili bu tür soruları en iyi nasıl bekleyebileceğimizi düşünmek için bir çerçeve sağlamak istiyoruz.”
adresindeki bir sunumda Siyah Şapka ABD Ağustos başında, başlıklı “LLM Destekli Tehdit İstihbarat Programı Neye benziyor?Mandiant’ın Google Cloud’daki istihbarat-analitik ekibinde veri bilimcisi olan Miller ve Ron Graf, LLM’lerin siber güvenlik analizini hızlandırmak ve derinleştirmek için güvenlik çalışanlarını artırabileceği alanları gösterecek.
Tehdit İstihbaratının Üç Bileşeni
Miller, Dark Reading’e, kuruluşları için güçlü bir tehdit istihbaratı yeteneği oluşturmak isteyen güvenlik uzmanlarının, başarılı bir şekilde dahili tehdit istihbaratı işlevi oluşturmak için üç bileşene ihtiyaç duyduğunu söylüyor. İlgili tehditler hakkında verilere ihtiyaçları var; yararlı olması için bu verileri işleme ve standartlaştırma yeteneği; ve bu verilerin güvenlik endişeleriyle nasıl ilişkili olduğunu yorumlama yeteneği.
Bunu söylemesi yapmaktan daha kolay çünkü tehdit istihbaratı ekipleri veya tehdit istihbaratından sorumlu kişiler genellikle paydaşlardan gelen veriler veya isteklerle dolup taşıyor. Bununla birlikte, LLM’ler, kuruluştaki diğer grupların doğal dil sorgularıyla veri talep etmesine ve bilgileri teknik olmayan bir dilde almasına izin vererek boşluğu doldurmaya yardımcı olabilir, diyor. Sıkça sorulan sorular arasında, fidye yazılımı gibi belirli tehdit alanlarındaki eğilimler veya şirketlerin belirli pazarlardaki tehditler hakkında bilgi edinmek isteme durumları yer alır.
Miller, “Tehdit istihbaratını LLM odaklı yeteneklerle artırmayı başaran liderler, temel olarak tehdit istihbaratı işlevlerinden daha yüksek bir yatırım getirisi planlayabilirler” diyor. “Bir liderin ileriyi düşünürken bekleyebileceği ve mevcut istihbarat işlevinin yapabileceği şey, bu soruları yanıtlayabilmek için aynı kaynaklarla daha yüksek yetenekler yaratmaktır.”
AI, İnsan Analistlerin Yerini Alamaz
LLM’leri ve AI ile artırılmış tehdit istihbaratını benimseyen kuruluşlar, aksi takdirde kullanılmayan kurumsal güvenlik veri kümelerini dönüştürme ve bunlardan yararlanma konusunda gelişmiş bir yeteneğe sahip olacaktır. Yine de tuzaklar var. Tutarlı tehdit analizi üretmek için LLM’lere güvenmek zamandan tasarruf sağlayabilir, ancak örneğin, potansiyel “halüsinasyonlara” da yol açabilir – sistemin hiçbir şeyin olmadığı yerlerde bağlantılar oluşturacağı veya üzerinde eğitim aldığı için yanıtları tamamen uyduracağı LLM’lerin eksikliği. yanlış veya eksik veriler.
“İşinizin güvenliği hakkında bir karar vermek için bir modelin çıktısına güveniyorsanız, o zaman herhangi bir temel hata olup olmadığını fark etme yeteneği ile birisinin ona baktığını doğrulayabilmek istersiniz. ” Google Cloud’dan Miller diyor. “Bu soruları cevaplarken veya bu kararları alırken içgörünün faydası adına konuşabilecek nitelikli uzmanlara sahip olduğunuzdan emin olabilmeniz gerekir.”
Google Cloud’dan Graf, bu tür sorunların aşılamaz olmadığını söylüyor. Kuruluşlar, temelde bütünlük kontrolleri yapmak ve halüsinasyon oranını azaltmak için birbirine zincirlenmiş rakip modellere sahip olabilir. Ayrıca, “hızlı mühendislik” olarak adlandırılan optimize edilmiş yöntemlerle soru sormak, daha iyi yanıtlara veya en azından gerçekle en uyumlu olanlara yol açabilir.
Graf, bir yapay zekayı bir insanla eşleştirmenin en iyi yol olduğunu söylüyor.
“En iyi yaklaşımın insanları döngüye dahil etmek olduğuna inanıyoruz” diyor. “Ve bu her halükarda aşağı yönde performans iyileştirmeleri sağlayacak, bu nedenle kuruluşlar hala avantajlardan yararlanıyor.”
Siber güvenlik firmaları, temel yeteneklerini büyük LLM’lerle dönüştürmenin yollarını keşfetmek için diğer şirketlere katıldıkça, bu büyütme yaklaşımı ilgi görüyor. Örneğin Mart ayında Microsoft, siber güvenlik ekiplerinin ihlalleri araştırmasına ve tehditleri aramasına yardımcı olmak için Security Copilot’u başlattı. Ve Nisan ayında, tehdit istihbaratı şirketi Recorded Future, sistemin geniş verileri veya derin aramayı analist için iki veya üç cümlelik basit bir özet rapora dönüştürme yeteneğinin, analist için önemli miktarda zaman kazandırdığını keşfederek, LLM ile geliştirilmiş bir yeteneği piyasaya sürdü. güvenlik uzmanları.
Jamie Zajac, “Temel olarak, tehdit istihbaratının bir ‘Büyük Veri’ sorunu olduğunu düşünüyorum ve saldırgana, altyapıya ve hedefledikleri insanlara yönelik saldırıların tüm seviyelerine ilişkin kapsamlı bir görünürlüğe sahip olmanız gerekiyor” diyor. AI’nın insanların bu ortamda daha etkili olmasına izin verdiğini söyleyen Recorded Future’da ürün başkan yardımcısı. “Bütün bu verilere sahip olduğunuzda, ‘bunu gerçekten yararlı bir şeye nasıl sentezlersiniz?’ problemiyle karşı karşıya kalırsınız ve zekamızı ve büyük dil modellerini kullanmanın … tasarruf etmeye başladığını gördük. [our analysts] saatler ve saatler.”