Скажите термин «киберразведка» (CTI) командам кибербезопасности средних и крупных компаний, и вы часто услышите в ответ: «мы начинаем изучать эту возможность». Это те же компании, которые могут страдать от нехватки опытных, качественных специалистов по кибербезопасности.
На этой неделе на Black Hat два члена команды Google Cloud рассказали о том, как возможности больших языковых моделей (LLM), таких как GPT-4 и PalM, могут сыграть роль в кибербезопасности, особенно в области CTI, потенциально решая некоторые проблемы с ресурсами. Для многих команд кибербезопасности это может показаться будущей концепцией, поскольку они все еще находятся на этапе исследования внедрения программы разведки угроз; в то же время это может решить часть проблемы с ресурсами.
Читайте также: Первый взгляд на инструменты киберразведки и поиска угроз
Основные элементы киберразведки
Программа киберразведки для успеха нуждается в трех основных элементах: видимость угроз, возможности обработки и возможности интерпретации. Потенциальное влияние использования LLM заключается в том, что они могут значительно помочь в обработке и интерпретации, например, позволяя анализировать дополнительные данные, такие как журналы, которые из-за большого объема иначе пришлось бы игнорировать. Возможность автоматизировать вывод ответов на вопросы бизнеса снимает значительную задачу с команды кибербезопасности.
Презентация предложила идею о том, что технология LLM подходит не во всех случаях, и предположила, что ее следует сосредоточить на задачах, требующих меньшего критического мышления и связанных с большими объемами данных, оставляя задачи, требующие большего критического мышления, в руках экспертов-людей. В качестве примера было приведено случаи, когда документы могут потребовать перевода для целей атрибуции, что является важным моментом, поскольку неточность в атрибуции может вызвать значительные проблемы для бизнеса.
Как и в случае с другими задачами, за которые отвечают команды кибербезопасности, автоматизация должна использоваться, в настоящее время, для менее приоритетных и наименее критических задач. Это не отражение самой технологии, а скорее констатация того, на каком этапе эволюции находится технология LLM. Из презентации было ясно, что технология имеет свое место в рабочем процессе CTI, но на данный момент нельзя полностью доверять ей в получении правильных результатов, а в более критических ситуациях ложный или неточный ответ может вызвать серьезную проблему. Это, похоже, является общим мнением при использовании LLM в целом; существует множество примеров, когда сгенерированный вывод вызывает сомнения. Один из докладчиков на Black Hat идеально сформулировал это, описав ИИ в его нынешнем виде как «подростка, который выдумывает вещи, лжет и совершает ошибки».
Читайте также: Начнет ли ChatGPT писать вредоносное ПО?
Будущее?
Я уверен, что через несколько лет мы будем передавать ИИ задачи, которые будут автоматизировать принятие некоторых решений, например, изменение правил межсетевого экрана, приоритизацию и исправление уязвимостей, автоматическое отключение систем из-за угрозы и тому подобное. Но пока нам нужно полагаться на опыт людей для принятия этих решений, и крайне важно, чтобы команды не спешили внедрять технологию, находящуюся в зачаточном состоянии, в такие критически важные роли, как принятие решений в области кибербезопасности.