AI, savaşın her iki tarafında siber güvenlik dönüştürüyor. Tehdit aktörleri saldırılarını geliştirmek ve güçlendirmek için AI kullandıkça, işletim ortamındaki güvenlik tehditlerini belirlemekten sorumlu mavi ekipler, büyük dil modellerini (LLMS) kendi oyunlarını yükseltmek için nasıl kullanacağını araştırıyor. LLM’ler, savunuculara yardım etmek için büyük bir umut vaat ediyor, bu nedenle ekiplerin işlerini daha iyi ve daha hızlı yapmalarına yardımcı olmak için aktif olarak yararlanmanın yollarını aradıkları şaşırtıcı değil.
Ancak AI sihirli bir çözüm değildir. Mavi takımların teknolojiden en iyi şekilde yararlanabilmesi için, önce LLM’lerin ne iyi yapabileceğini anlamalı, daha sonra iş akışlarının hangi bölümlerinin AI-etkinleştirmeden en iyi faydalanabileceğini anlamalıdırlar.
LLM’ler ne işe yarar?
Her ne kadar AI iyileştirmenin hızlı temposu tahminleri özellikle zorlaştırsa da, LLM’lerin çok fazla değişmesi olası olmayan bazı güçlü yönleri vardır. Bunlar şunları içerir:
- İçerik oluşturma ve manipülasyon – İnsan talimatlarına göre, metin, kod veya görüntüler olsun/manipüle etmek
- Bilgi büyütme ve geri alma – Sorgu veya sohbet yoluyla bir veritabanından veya belge koleksiyonundan ilgili bilgilere daha kolay erişmek
- Belge Özetleme – Bir belgeden temel verilerin veya gerçeklerin çıkarılması
- Dil çevirisi – LLM’ler metin veya kodu bir dilden diğerine çevirebilir
- Bağlam Analizi ve Yorumlama – Uygun model eğitimi ile model anlam tahmin edebilir ve sağlanan içerikten sonuçlar çıkarabilir
- Talimat takip -Bazı model türleri, büyük bir özgüllükle adım adım talimatları takip edebilir
Bu güçlü yönlerin her biri mavi takım görevlerini kolaylaştırmaya yardımcı olabilirken, insan gözetimi hala kritiktir. Örneğin, belge özetlenmesinde, mavi bir ekip üyesi, LLM’nin eklediği her şeyin mavi ekibin çalışmasıyla ilgili olduğundan ve önemli bilgiler bırakmadığından veya işleri telafi etmediğinden emin olmak için çıktıyı gözden geçirmelidir.
Güvenlik liderleri LLM’lerin neyin iyi olduğunu anladıktan sonra, bir sonraki adım özel kullanım durumlarını ve hangi güçlü yönlerle eşleştiklerini anlamaktır.
AI güçlü yönlerini mavi takım ihtiyaçları ile hizalamak
AI etkisini en üst düzeye çıkarmanın anahtarı, en az çaba için en fazla değeri sağladığını bulmaktır. Bu noktalar genellikle en yaygın olarak çağrılan süreçlerinizden veya iş akışlarınızdan bazıları olacaktır. Otomatik olay tespitinin LLM’ler için en belirgin kullanım durumu olduğunu düşünebilirsiniz. Ancak, bu tarihsel olarak daha zor olduğu kanıtlanmıştır. Bunun yerine, diğer bazı SOC (veya SOC-BAŞLIK) işlevlerinde hızlı kazançlar arayın.
Siber Tehdit İstihbaratı
CTI çevresindeki çalışmaların çoğu ağır araştırma iş yüklerini içerir ve özet, raporlar, e -postalar veya benzeri çıktılar yaratır. Örneğin, Intel ekipleri genellikle karanlık web forumlarının incelemelerinden tehdit peyzaj raporlarını hazırlamaya kadar her şeyden sorumludur. LLM belge özetleme, ekibinizin aynı sürede daha fazla bilgiyi sindirmesine yardımcı olmak için harika bir yoldur. Ayrıca, içerik üretimi, paydaşları acil güvenlik konularında bilgilendiren Intel çıktılarının oluşturulmasını kolaylaştırmaya yardımcı olabilir.
Uyarı triyajı, olay yanıtı ve dijital adli tıp
Bu kullanım durumlarının her biri, teknik olarak ayrı olsa da, her mavi ekibin bir uyarı aldıktan sonra cevaplaması gereken altı soru ile birlikte dokunur:
- Bu uyarı ne anlama geliyor?
- Bu gerçek bir saldırı mıydı?
- Saldırı başarılı mıydı?
- Hangi varlıklar etkilendi?
- Saldırgan ne yaptı (veya yapmaya çalıştı)?
- Nasıl cevap vermeliyiz?
İlk üç soru en etkili olanıdır, çünkü uyarı triyaj süreci her uyarı için bunları cevaplamayı gerektirir. #2 veya #3’e cevap “hayır” ise, kalan soruları cevaplamaya gerek yoktur. Bu soruları hızlı ve doğru bir şekilde cevaplamak, verimli triyaj için kritik öneme sahiptir, bu da onları AI yardımı için birincil hedef haline getirir.
IP adresleri, bağlantı noktası bilgileri ve ana bilgisayar adları gibi bağlamsal verilerle birlikte ilk soruyu uyarı detayları sağlayarak cevaplamak için düzgün eğitimli bir dil modeli kullanabilirsiniz. Çizilecek doğru veritabanı ile LLM, hem kötü niyetli hem de iyi huylu aktivitenin örneklerini ve saldırının nasıl başarılı olup olmadığını yargılayacağına dair rehberlik de sağlayabilir. Bir analistin bu ilk önemli soruları cevaplaması için gereken süreyi keserek AI, SOC’nin gelen uyarılarla başa çıkma yeteneğini büyük ölçüde hızlandırma potansiyeline sahiptir.
Olaydan Sonra Belgelenme
Her olaydan sonra, mavi takımı gelecekte benzer durumları önlemeye ve yanıtlamaya hazırlayacak dersler var. Güvenlik olayı yanıtı için Pikerl modeline aşina olanlar için – öğrenilen dersler hazırlayın, tanımlayın, içerir, içerir, ortadan kaldırın, kurtarın – “öğrenilen dersler” aşaması, olay yanıtı için sürekli iyileştirmenin temel itici gücüdür.
LLMS’in belge özetleme özelliği, ham yanıt notlarını diğer yanıt verenler veya paydaşlar için sindirilebilir içeriğe dönüştürebilir. İçerik oluşturma yetenekleri, neler olduğuna ve nedenin daha ayrıntılı bir açıklamasını sağlamak için kaba olay raporları taslaklarının oluşturulmasında da çok yararlıdır. Her iki durumda da, mavi ekip üyeleri doğruluğu sağlamak için çıktıları gözden geçirmeli, tüm temel bilgilerin dahil edildiğini onaylamalı ve AI halüsinasyonlarının gerçekleşmediğini doğrulamalıdır.
Mevcut her avantajı kavramak
Mavi takımlar bugünün tehdit aktörlerine karşı sürekli savaşta hayati bir rol oynarlar ve ellerinde her avantaja ihtiyaç duyarlar. Sonuçta, kötü aktörler de AI kullanıyor.
Mavi ekipler, belirli ve hedeflenen hedeflere sahip AI çözümleri uygulamalıdır. Daha da önemlisi, AI’nın geniş yeteneklerine rağmen, her iş akışı hala insan liderliğinde olmalıdır. LLM’lerinizin neler yapabileceğini anlayın, en çok etkiyi nereden alacaklarına öncelik verin ve her modeli sürekli olarak eğitin, böylece ekipleriniz en iyi sonuçları elde edin.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!