Yapay Zeka (AI), makinelerde insan zekasının simülasyonudur, sistemlerin verilerden öğrenmesini, kalıpları tanımasını ve kararlar almasını sağlar. Bu kararlar sonuçları tahmin etmek, süreçleri otomatikleştirme ve anomalilerin tespit edilmesini içerebilir. Büyük dil modelleri (LLMS), insan benzeri metni işlemek, anlamak ve oluşturmak için tasarlanmış uzmanlaşmış AI modelleridir.
Büyük dil modelleri (LLM’ler) çeşitli ve kapsamlı metin verileri konusunda eğitilmiştir. Dili anlamak ve çok sayıda alanda bilgi uygulamak için tasarlanmıştır. GPT-4 ve Claude 3.5 Haiku gibi LLM’ler, insan dilini anlamak, oluşturmak ve manipüle etmek için tasarlanmıştır.
Bu makalede, güvenlik profesyonellerinin LLM destekli bir güvenlik asistanı uygulayarak kazanabileceği faydaları ve yetenekleri araştırıyoruz. LLMS, güvenlik verilerini bir Güvenlik Bilgisi ve Etkinlik Yönetimi (SIEM) veya Genişletilmiş Algılama ve Yanıt (XDR) platformu içinde zenginleştirebilir. Bu tür entegrasyon, profesyonelleri günlük analizi, olay triyajı, özel kural oluşturma ve genel güvenlik anlayışlarını iyileştirme gibi görevleri yerine getirebilir.
Güvenlik operasyonlarında llms
Güvenlik İşlemleri (SECOPS), bir kuruluşun BT sistemlerinde siber güvenlik risklerinin azaltılmasını belirlemeyi, ele almayı ve denetlemeyi içerir. Bu uygulama, siber tehditlere karşı savunmak için insanları, süreçleri ve teknolojiyi birleştirir.
Bu faaliyetler, özel bir ekibin güvenlik uyarılarını analiz ettiği, olası olayları araştırdığı ve tehditlere gerçek zamanlı olarak yanıtladığı bir Güvenlik Operasyon Merkezi (SOC) içinde yönetilir. Güvenlik analistleri, bu görevlere yardımcı olmak için SIEM ve XDR dahil olmak üzere çeşitli araçları kullanıyor.
LLM’ler metin oluşturma, çeviri, özetleme ve soru-cevap veren görevler için kullanılır. Çok yönlülükleri, siber güvenlik, daha hızlı tehdit algılama, otomatik analiz ve akıllı karar alma dahil olmak üzere çeşitli endüstrilerde değerli hale getirmiştir.
Her biri chatbot etkileşimlerinden kurumsal otomasyona ve yaratıcı içerik üretimine kadar benzersiz güçlü yönlere sahip birkaç LLM mevcuttur. LLM’lerin bazı popüler örnekleri şunları içerir:
- Openai GPT
- Claude (Antropik)
- Google Gemini
- Hedef çağrısı
- Mistral var
- Bloom (BigScience)
- Deepseek
Güvenlik uzmanları için asistan olarak LLM’lerden yararlanmak
Geleneksel olarak, güvenlik operasyonları analistleri, siber tehditleri tespit etmek ve bunlara yanıt vermek için ekiplerinin araştırmalarına, deneyimine ve kolektif bilgilerine güvenmektedir. Bununla birlikte, tehdit ortamındaki sürekli değişikliklerle profesyoneller, uzmanlıklarını AI tarafından sunulan büyütme ile dengelemeye çalışıyorlar.
Bir güvenlik analistinin günlük görevlerinde LLM’lerin uygulanmasının bazı yollarını araştırıyoruz:
1. Günlük analizi ve veri zenginleştirmesi: ChatGPT gibi eğitimli LLM’ler, kötü niyetli faaliyetlerin kalıplarını veya imzalarını tespit ettikten sonra diğer güvenlik çözümlerinin çıktısını yorumlayabilir. Ayrıca, analistlerin triyasyonuna yardımcı olmak ve olayları özetlemek için güvenlik uyarılarını zenginleştirebilir ve metin açıklamalarını analiz edebilirler. LLM’ler henüz büyük ölçekli günlük analizini veya karmaşık olay korelasyonunu ele almasa da, bir analistin iş akışını destekleyen daha küçük görevler için oldukça etkilidir.
2. Tehdit İstihbarat Entegrasyonu: LLM’ler, dış raporları işleyerek ve işleyerek veya taktikleri, teknikleri ve prosedürleri (TTP’ler) tehdit yemlerinden ilişkilendirerek yardımcı olabilir. Forumlardan ve karanlık web konuşmalarından yapılandırılmamış verileri çevirerek, tehdit istihbarat verilerini güvenlik ekiplerine daha sindirilebilir hale getirerek özetlenmiş bağlamsal bilgiler sağlayabilirler. Ayrıca bir analistin ortaya çıkan tehditleri anlayışını artırabilir ve kural yaratma stratejileri önerebilir. Örneğin, Claude Haiku, yaratıcı ve özlü dil üretimi için özellikle ince ayarlanmış bir modeldir. Bu, özellikle kullanıcıya dönük uygulamaları güçlendirmede etkili hale getirir.
3. Bağlamsal iyileştirme önerileri: Güvenlikle ilgili sorguları anlama yeteneği göz önüne alındığında, LLM’ler güvenlik olaylarının bağlamına dayalı iyileştirme adımları önerebilir. Bu, güvenlik analistlerinin derin bir uzmanlık olmadan iyileştirme adımlarını anlamasını ve harekete geçmesini kolaylaştıracaktır.
4. Kimlik avı tespiti: LLMS, geleneksel anahtar kelime tabanlı filtrelerin aksine, insanlar gibi e-posta metnini okuyabilir ve anlayabilir. Kimlik avı e -postalarını tanımlamada önemli faktörler olan ton, dilbilgisi ve bağlamı analiz ederler. E-posta güvenlik çözümleriyle entegrasyon, gerçek zamanlı olarak gelişmiş iş e-posta uzlaşmasını (BEC) ve mızrak aktı saldırılarını önlemeye yardımcı olabilir.
Herhangi bir LLM tarafından üretilen tüm yanıtların, bazen yanlış olabileceğinden gözden geçirilmesi gerektiğini belirtmek önemlidir. Belirli sınırlamalara rağmen, LLM’ler manuel çabayı azaltarak ve güvenlik analistlerine değerli yardım sunarak güvenlik operasyonlarına değer sağlar.
LLMS’yi wazuh kullanarak siber güvenlik asistanları olarak entegre etmek
Wazuh, kuruluşların sistem faaliyetlerini izleyerek güvenlik tehditlerini tespit etmesine ve bunlara yanıt vermelerine yardımcı olan açık kaynaklı bir güvenlik platformudur. Wazuh, güvenlik profesyonelleri için bir siber güvenlik asistanı oluşturmada güvenlik operasyonlarına yardımcı olmak için çeşitli LLM’lerle entegre olabilir.
Aşağıdaki kullanım durumları, bu tür entegrasyonların pratikte nasıl uygulanacağını göstermektedir.
Tehdit Tespiti ve Uyarı Zenginliği
LLM’ler, kötü amaçlı yazılımları tanımlamak ve sınıflandırmak için açık kaynaklı bir araç olan Yara gibi diğer tehdit algılama çözümleri tarafından üretilen uyarıları zenginleştirebilir.
Bu kavram kanıtında, Wazuh Active Yanıt Modülü, yara tarama sonuçlarını zenginleştirmek için ChatGPT kullanır ve tespit edilen tehdit hakkında ek bilgi sağlar. Bunu başarmak için, Wazuh Dosya bütünlüğü izleme, herhangi bir ekleme veya değişiklik için bir uç noktada sürekli olarak belirli dizinleri izler.
Kötü amaçlı bir dosya izlenen klasörlerden birine indirilirse, FIM modülü değişikliği algılar ve Wazuh aktif yanıt modülünü tetikler. Bu modül daha sonra dosyayı potansiyel tehditler için analiz etmek için bir YARA taraması çalıştırır.
Yara kötü amaçlı bir dosyayı tanımladıktan sonra, chatgpt, algılanan tehditle ilgili ayrıntılarla uyarıyı zenginleştirir ve güvenlik ekiplerinin olayı daha iyi anlamasına ve yanıtlamasına yardımcı olur. Belirlenen kötü amaçlı dosyalar daha sonra Wazuh Active Yanıtla silinir.
Aşağıdaki resimde ChatGPT, Yara tarafından algılanan kötü amaçlı dosyaya daha fazla bağlam sağlar.
Wazuh ile NMAP ve ChatGPT güvenlik denetimi blog yazısı, güvenlik uyarılarını zenginleştirerek bir kuruluşun güvenlik duruşunu iyileştirmek için başka bir kullanım durumu gösterir.
Bu blog yazısında, chatgpt, NMAP (Network Mapper) ‘dan (Network Mapper) tarama raporları hakkında daha fazla bilgi sağlamak için kullanılır.
Güvenlik Operasyonları Sanal Asistanlar
Bu kullanım durumunda, Claude Haiku LLM, Wazuh Gösterge Tablosu’nda bir sohbet arayüzü sağlamak için Wazuh ile entegre edilmiştir. Bu, kullanıcıların modeli güvenlik ile ilgili sorular hakkında sorgulamalarını, bağlamsal bilgiler sağlayarak ve tehdit soruşturması sırasında karar verme sürecini hızlandırmasını sağlar.
Bu entegrasyonlar, istihbarat yardımı sağlamak için doğal dil işlemeden (NLP) yararlanır.
Aşağıdaki resim, Wazuh Gösterge Tablosu ile entegre Claude Haiku LLM tarafından oluşturulan bir yanıtı göstermektedir. Sorguya verilen yanıtı gösteriyor: “Gizle için Miter Kimliği Nedir?”
Çözüm
LLMS’nin güvenlik işlem süreçleri ve çözümleriyle entegre edilmesi, analist iş yükünü azaltarak ve tehdit soruşturması sırasında karar almayı hızlandırarak güvenlik ekibinin sunduğu değeri artıracaktır.
Bu aynı zamanda proaktif savunma mekanizmalarını güçlendirerek kuruluşun güvenlik duruşunu ve operasyonel verimliliğini artıracaktır.
Wazuh hakkında daha fazla bilgi edinin.
Wazuh tarafından sponsorlu ve yazılmıştır.