кибербезопасность с помощью ChatGPT
ChatGPT

10 способов, которыми SecOps могут усилить кибербезопасность с помощью ChatGPT

ChatGPT демонстрирует потенциал для устранения разрыва в SecOps

Одной из самых больших проблем руководства командой SecOps является расширение масштабов использования устаревших систем, каждая из которых выдает различные типы оповещений и потоков данных в реальном времени. Из многих пробелов, созданных этим отсутствием интеграции, наиболее тревожным и используемым является незнание того, имеет ли данное удостоверение право использовать определенную конечную точку — и если имеет, то как долго. Системы, объединяющие конечные точки и удостоверения, помогают определить будущее нулевого доверия, а ChatGPT демонстрирует потенциал для устранения пробелов в идентификации, конечных точках и многих других подверженных риску угроз.

Злоумышленники совершенствуют свои навыки, чтобы использовать эти пробелы. Команды SecOps знают об этом и предпринимают шаги, чтобы начать укреплять свою защиту. К ним относятся предоставление наименее привилегированного доступа к работе; ведение журнала и мониторинг всех действий конечной точки; принудительная аутентификация; и удаление учетных данных зомби из Active Directory и других систем управления идентификацией и доступом (IAM). В конце концов, злоумышленникам нужны личные данные, и CISO должны сохранять бдительность, поддерживая системы IAM в актуальном состоянии и защищая их от угроз.

Но команды SecOps сталкиваются и с дополнительными проблемами, включая точную настройку анализа угроз; обеспечение видимости данных об угрозах в режиме реального времени во всех центрах управления безопасностью (SOC); снижение утомляемости при оповещении и ложных срабатываний; и консолидацию своих разрозненных инструментов. Это области, в которых ChatGPT уже помогает командам SecOps укреплять их кибербезопасность.

Объединение разнородных инструментов помогает устранить разрыв между идентификацией и конечной точкой. Это обеспечивает более четкую видимость всех поверхностей угрозы и потенциальных векторов атаки. “Мы видим, как клиенты говорят: ”Я хочу консолидированный подход, потому что экономически или с точки зрения персонала я просто не могу справиться со сложностью всех этих различных систем и инструментов”, – сказал VentureBeat во время недавнего интервью Капил Райна, вице-президент по нулевому доверию, идентификации, облаку и наблюдаемости в CrowdStrike.

“У нас был ряд вариантов использования, – сказала Райна, – когда клиенты экономили деньги, чтобы иметь возможность консолидировать свои инструменты, что позволяет им лучше видеть историю своих атак, а их график угроз упрощает действия и снижает риск за счет внутренних операций или накладных расходов, которые в противном случае замедлили бы реагирование”.

Уроки, извлеченные из пилотирования генеративного ИИ и ChatGPT

По их словам VentureBeat, один из уроков, который усвоили CISO, пилотирующие и использующие системы на основе ChatGPT в SecOps, заключается в том, что они должны тщательно проверять правильность обработки данных и управления ими, даже если это означает задержку внутренних тестов или запуска.

Они также научились выбирать варианты использования, которые в наибольшей степени способствуют достижению корпоративных целей, и определять, как этот вклад будет учитываться при достижении успеха.

В-третьих, они должны создавать рекурсивные рабочие процессы с использованием инструментов, которые могут проверять оповещения и отчеты ChatGPT об инцидентах, чтобы они знали, какие из них допустимы, а какие являются ложноположительными.

10 способов, которыми команды SecOps могут усилить кибербезопасность с помощью ChatGPT

Крайне важно знать, если и как, расходы на решения на основе ChatGPT укрепляют бизнес-обоснование безопасности с нулевым доверием и, с точки зрения правления, усиливают управление рисками.

CISO ведущей фирмы по предоставлению финансовых услуг сообщил VentureBeat, что разумно оценивать только поставщиков кибербезопасности, у которых есть большие языковые модели (LLM). Они не рекомендуют использовать сам ChatGPT, который никогда не забывает никаких данных, информации или анализа угроз, что делает его внутреннее использование угрозой конфиденциальности.

Airgap Networks, например, представила Zero Trust Firewall (ZTFW) с ThreatGPT, который использует графической баз данных и GPT-3 модели, чтобы помочь SecOps команды получают новую угрозу выводы. Модели GPT-3 анализируют запросы на естественном языке и выявляют угрозы безопасности, в то время как базы данных graph предоставляют контекстуальный анализ взаимосвязей трафика конечных точек. Другие варианты включают Cisco Security Cloud и CrowdStrikeискусственный интеллект Charlotte будет доступен каждому клиенту, использующему платформу Falcon.

Среди дополнительных поставщиков – Google облачный инструмент искусственного интеллекта для обеспечения безопасности ,в основном, второй пилот по безопасности записанный AIFutureSecurityScorecardSentinelOneVeracodeZeroFOX и Zscaler. Zscaler анонсировала три проекта с генеративным ИИ в предварительном просмотре на выставке Zenith Live 2023 в прошлом месяце в Лас-Вегасе.

Вот 10 способов, которыми ChatGPT помогает командам SecOps укреплять киберзащиту от натиска атак, включая программы-вымогатели, число которых выросло на 40% только за последний год.

1. Технология обнаружения доказывает свою эффективность

Технология обнаружения основана на обнаружении угроз безопасности в режиме реального времени и реагировании на них. CISO, управляющие пилотными проектами, говорят, что их команды SecOps могут обнаруживать, реагировать на них и заставлять LLM учиться на реальных, а не ложноположительных предупреждениях и угрозах. ChatGPT доказывает свою эффективность в автоматизации инженерных задач базового обнаружения, освобождая команды SecOps для изучения более сложных схем оповещения.

2. Масштабное улучшение реагирования на инциденты

CISO, пилотирующие ChatGPT, сообщают VentureBeat, что их программы проверки концепции (PoC) показывают, что платформа их поставщика для тестирования предоставляет действенные и точные рекомендации по реагированию на инцидент.

Галлюцинации случаются в самых сложных сценариях тестирования. Это означает, что LLM, поддерживающие ChatGPT, должны содержать точные контекстные ссылки. “Это большая проблема для нашего PoC, поскольку мы видим, что наше решение ChatGPT хорошо работает при базовом реагировании на инциденты”, – сказал один из CISO VentureBeat в недавнем интервью. “Чем больше глубина контекста, тем больше нашим командам SecOps нужно для обучения модели”.

CISO добавил, что он хорошо справляется с автоматизацией повторяющихся задач реагирования на инциденты, и это освобождает время для членов команды SecOps, которым ранее приходилось выполнять эти задачи вручную.

3. Масштабная оптимизация операций SOC для разгрузки перегруженных работой аналитиков

Ведущая страховая и финансовая компания запускает PoC в ChatGPT, чтобы посмотреть, как она может помочь перегруженным аналитикам центра управления безопасностью (SOC) путем автоматического анализа инцидентов кибербезопасности и выработки рекомендаций по немедленному и долгосрочному реагированию. Аналитики SOC также проверяют, может ли ChatGPT получать оценки рисков и рекомендации по различным сценариям. И они проводят тестирование, чтобы увидеть, насколько эффективно ChatGPT консультирует ИТ-отдел, группы безопасности и сотрудников по политикам и процедурам безопасности; по обучению сотрудников; и по повышению показателей удержания знаний.

4. Усердно работайте над обеспечением видимости в режиме реального времени и управлением уязвимостями

Несколько CISO сообщили VentureBeat, что, хотя улучшение видимости разнообразных, разрозненных инструментов, на которые они полагаются в SoC, является первоочередной задачей, добиться этого непросто. ChatGPT помогает, обучаясь работе с данными в режиме реального времени для предоставления отчетов об уязвимостях в режиме реального времени, в которых перечислены все известные и обнаруженные угрозы или уязвимости по активам в сети организации.

Отчеты об уязвимостях в режиме реального времени могут быть ранжированы по уровню риска, рекомендациям к действиям и уровню серьезности, при условии, что этот уровень данных используется для обучения LLM.

5. Повышение точности, доступности и контекста анализа угроз

ChatGPT доказывает свою эффективность в прогнозировании потенциальных угроз и сценариев вторжений на основе анализа данных мониторинга в корпоративных сетях в режиме реального времени в сочетании с базой знаний, которую постоянно создают поддерживающие их LLM. Один CISO, запускающий пилотный проект ChatGPT, говорит, что цель состоит в том, чтобы проверить, может ли система отличать ложные срабатывания от реальных угроз.

На данный момент наиболее ценным аспектом пилотного проекта является потенциал LLMs в анализе огромного объема данных об угрозах, которые собирает организация, а затем предоставлении контекстуализированной информации в режиме реального времени аналитикам SOC.

6. Определение того, как конфигурации безопасности могут быть точно настроены и оптимизированы для данного набора угроз

Зная, что неправильные настройки систем кибербезопасности и обнаружения угроз, выполняемые вручную, являются одной из основных причин взломов, CISO заинтересованы в том, как ChatGPT может помочь выявить и рекомендовать улучшения конфигурации путем интерпретации предоставленных показателей компрометации данных (IOCs).

Цель состоит в том, чтобы выяснить, как наилучшим образом настроить конфигурации, чтобы свести к минимуму ложные срабатывания, иногда вызываемые оповещениями на основе IoC, вызванными неоптимальной конфигурацией.

Потерянное время, потраченное на ложные срабатывания, является одной из причин, по которой CISO, ИТ-директора и их советы директоров оценивают безопасные платформы на основе генерирующего искусственного интеллекта. Несколько исследований показали, сколько времени аналитики SOC тратят впустую на поиск предупреждений, которые оказываются ложноположительными. Invicti обнаружила, что SoC тратят 10 000 часов и 500 000 долларов в год на проверку ненадежных предупреждений об уязвимостях. Исследование, проведенное корпоративной стратегической группой (ESG), показало, что веб-приложения и средства безопасности API генерируют 53 ежедневных предупреждения, из которых 45% являются ложноположительными.

Один CISO, запускающий пилотный проект для нескольких SoC, сказал, что наиболее значительным результатом на данный момент является то, что генеративный ИИ, доступный через интерфейс ChatGPT, значительно сокращает время, затрачиваемое на устранение ложных срабатываний.

8. Более тщательный, точный и безопасный анализ кода

Исследователи кибербезопасности продолжают тестировать ChatGPT, чтобы увидеть, как он справляется с более сложным анализом защищенного кода. Виктор Сергеев опубликовал один из наиболее полных тестов. “ChatGPT успешно идентифицировал подозрительные установки сервиса без ложных срабатываний. Была выдвинута обоснованная гипотеза о том, что код используется для отключения ведения журнала или других мер безопасности в системе Windows ”, – написал Сегеев.

В рамках этого теста Сергеев заразил целевую систему агентами Meterpreter и PowerShell Empire и эмулировал несколько типичных процедур противника. После запуска сканера в целевой системе он выдал отчет о проверке, дополненный выводами ChatGPT. Он успешно идентифицировал два вредоносных запущенных процесса из 137 одновременно запущенных безопасных процессов без каких-либо ложных срабатываний.

9. Улучшите стандартизацию и управление SOC, способствуя более надежному обеспечению безопасности

CISO говорят, что улучшение стандартизации процессов и процедур SOC не менее важно, чем улучшение видимости различных и часто несопоставимых инструментов на технологическом уровне. Согласованные рабочие процессы, которые могут адаптироваться к изменениям в ландшафте безопасности, имеют решающее значение для предотвращения инцидентов безопасности.

Как выразился CISO компании, производящей микрокомпоненты для электронной промышленности, цель состоит в том, чтобы “объединить наш закон о стандартизации и гарантировать, что ни один IP-адрес никогда не будет скомпрометирован”.

10. Автоматизируйте написание запросов SIEM и ежедневных скриптов, используемых для операций SOC

Запросы к информации о безопасности и управлению событиями (SIEM) необходимы для анализа данных журнала событий в реальном времени из каждой доступной базы данных и источника для выявления аномалий. Они являются идеальным вариантом использования для генеративного искусственного интеллекта и кибербезопасности на основе ChatGPT.

Аналитик SOC крупной компании, предоставляющей финансовые услуги, рассказала VentureBeat, что количество запросов SIEM может быстро вырасти до 30% ее работы или более, и что автоматизация их создания и обновления высвободит по крайней мере полтора дня в неделю.

Потенциал ChatGPT по улучшению кибербезопасности только начинается

РЕКЛАМА

Ожидайте запуска новых платформ кибербезопасности на базе ChatGPT во второй половине 2023 года, в том числе от Palo Alto Networks, генеральный директор которой Никеш Арора намекнул на последнее сообщениедоходах компании, что компания видит “значительные возможности, поскольку мы начинаем внедрять генеративный ИИ в наши продукты и рабочие процессы”. Арора добавила, что компания намерена внедрить собственный LLM по безопасности Palo Alto Networks в следующем году.

Во второй половине 2023 года будет наблюдаться экспоненциальный рост числа запусков новых продуктов, направленных на оптимизацию SOC и устранение разрыва между идентификацией и конечной точкой, которым продолжают пользоваться злоумышленники.

Что наиболее интересно в этой области, так это то, как новые данные телеметрии, проанализированные платформами с генеративным искусственным интеллектом, обеспечат инновационные идеи для новых продуктов и услуг. Конечные точки и данные, которые они анализируют, являются инновациями с турбонаддувом. Несомненно, то же самое будет справедливо и для платформ искусственного интеллекта, которые полагаются на ChatGPT, чтобы легко и быстро предоставлять свои аналитические данные специалистам по безопасности.

admin
Author: admin