Come Corelight utilizza Intelligenza Artificiale per potenziare le squadre SOC

L’esplosione dell’interesse nell’intelligenza artificiale (IA) e, in particolare, nei grandi modelli linguistici (LLM) ha recentemente conquistato il mondo. La dualità del potere e dei rischi che questa tecnologia porta con sé è particolarmente rilevante per la sicurezza informatica. Da un lato, le capacità dei LLM per la sintesi, la creazione (o co-creazione) del linguaggio e del contenuto sono sbalorditive. Dall’altro lato, ci sono gravi preoccupazioni nel campo della sicurezza informatica non solo riguardo alle allucinazioni dell’IA, ma anche all’abuso di questa tecnologia per diffondere disinformazione, creare carburante per l’ingegneria sociale e persino generare codice maligno.

Invece di concentrarsi sul futuro dell’IA, vogliamo condividere alcuni dei modi in cui Corelight sta pensando e utilizzando l’IA nei suoi prodotti NDR oggi. Il loro approccio è quello di sfruttare l’IA dove può rendere i clienti più produttivi nelle loro operazioni di sicurezza quotidiane, e farlo in modo responsabile e nel rispetto della privacy dei dati dei nostri clienti. Aumentare l’efficienza del SOC attraverso la generazione di rilevamenti migliori e un’accelerazione delle competenze degli analisti va direttamente a affrontare le sfide della forza lavoro nella sicurezza informatica con cui ogni organizzazione sta lottando.

Machine learning

Il termine generico “intelligenza artificiale” include tutte le capacità dell’apprendimento automatico (ML), compresi i grandi modelli linguistici (LLM). Corelight utilizza modelli di ML per una varietà di rilevamenti all’interno della piattaforma Open NDR, sia direttamente sui sensori che nell’ offerta SaaS Investigator. Avere questa potente capacità sul campo e nel cloud consente ai clienti, che siano implementati in ambienti isolati o completamente connessi al cloud, di sfruttare la potenza dei rilevamenti basati su ML.

Dalla ricerca dei canali di comando e controllo all’identificazione di malware, l’ML continua a essere uno strumento potente nel nostro arsenale di analisi. I modelli di ML supervisionato e deep learning consentono rilevamenti mirati ed efficaci che riducono al minimo i falsi positivi comunemente associati ad alcuni altri tipi di modelli ML. I modelli possono identificare comportamenti come gli algoritmi di generazione di domini (DGAs) che possono indicare un’infezione dell’host, monitorare il download di software maligni e identificare tentativi di esfiltrazione di dati da un’organizzazione attraverso canali nascosti come il DNS. Utilizzano anche tecniche di deep learning per identificare URL e domini che cercano di ingannare gli utenti inducendoli a fornire credenziali o installare malware, contribuendo a fermare gli attacchi nelle fasi iniziali del ciclo di vita.

Fornire rilevamenti efficaci basati su ML è solo l’inizio dell’approccio. Avere il contesto appropriato e la spiegazione attorno ai rilevamenti è essenziale per una risposta e una risoluzione più rapide. Corelight fornisce viste dettagliate su ciò che di solito è una “scatola nera” del rilevamento basato su ML. La piattaforma Investigator fornisce un’esposizione delle caratteristiche che compongono il modello, così come i pesi che hanno portato a un rilevamento specifico. Questi dati forniscono agli analisti una visione di quale evidenza specifica utilizzare per i passi successivi di un’indagine.

Corelight continua a sviluppare nuovi modelli e a ottimizzare quelli esistenti per assicurarsi che clienti siano protetti dalle ultime minacce che vediamo nel mondo reale. Stanno anche prototipando un framework di rilevamento delle anomalie che ha ampia applicabilità a una varietà di casi d’uso comportamentali, dall’autenticazione all’escalation dei privilegi, fornendo comunque un livello di spiegabilità che i clienti si aspettano da Corelight.

Grandi modelli linguistici

Negli esperimenti con i Grandi Modelli Linguistici (LLM), Corelight è stato convinto fin dall’inizio che la loro potenza nella sintesi e nella creazione di informazioni esistenti fosse la migliore applicazione per la maturità attuale dei LLM. Hanno riscontrato che la loro capacità di creare rilevamenti distinguendo tra traffico di rete legittimo e maligno era debole nei test iniziali, ma abbiamo confermato che questi modelli linguistici possono fornire contesto, intuizioni e passaggi successivi potenti per accelerare l’indagine ed educare gli analisti.

Poiché Corelight produce uno standard d’oro, un formato dati aperto per NDR, hanno rapidamente implementato una potente funzione di sintesi degli avvisi e accelerazione dell’incident response (IR) nella piattaforma Investigator, guidata da GPT.

Ecco come funziona:

I ricercatori di Corelight creano, testano e convalidano un numero limitato di prompt focalizzati su avvisi di sicurezza creati dalla piattaforma Corelight. Questi prompt approvati vengono quindi utilizzati per interrogare GPT basandosi esclusivamente sui metadati degli avvisi (nessun dato specifico del cliente viene inviato) e i risultati vengono memorizzati nella nostra infrastruttura SaaS. Un cliente che visualizza un avviso visualizza automaticamente il riassunto dell’avviso GPT e può accedere ai potenziali passaggi successivi per indagare e rimediare all’avviso semplicemente cliccando su una serie di prompt supplementari a forma di “cloud”. I clienti possono anche suggerire prompt aggiuntivi e fare suggerimenti su come migliorare l’output di GPT. Nessun dato del cliente viene mai inviato a GPT e nessun traffico dal sito del cliente va mai a GPT, poiché questo è gestito dall’infrastruttura SaaS di Corelight.

Crediamo che controllando attentamente i prompt e le risposte per accuratezza, e assicurandoci che nessun dato del cliente vada a GPT, Corelight abbia trovato un compromesso per fornire un grande valore dai LLM senza compromettere la privacy del cliente. Questo approccio è stato costantemente convalidato dai loro clienti e dagli analisti e partner con cui collaborano.

La sintesi e la fornitura di passaggi successivi sono un ottimo punto di partenza, e ora stanno iniziando a sperimentare l’aggiunta di ulteriore contesto, inclusi informazioni su Indicatori di Compromissione (IOCs), Procedure e Tecniche di Attacco di MITRE ATT&CK®, Threat Actor e altro ancora. Continuano anche a educare gli analisti di sicurezza sul miglior modo di utilizzare le prove di Zeek e Corelight per indagare e rispondere agli avvisi. Con ulteriori perfezionamenti e una conoscenza specifica dei dati di Corelight, stanno scoprendo che i modelli diventano sempre più capaci di gestire informazioni aggiuntive e passaggi del flusso di lavoro. Una considerazione importante è che, per utilizzare alcune di queste funzionalità aggiuntive, si debba “attraversare il ponte” consentendo ai modelli di gestire direttamente i dati del cliente. Senza accesso alle prove di rete aggiuntive, i modelli non possono assistere. Hanno quindi adottato un approccio iniziale prudente evitando di condividere dati del cliente con i LLM. Tuttavia, prevediamo che, con le opportune misure di sicurezza, alcuni clienti potrebbero scegliere di condividere i propri dati per accedere a una nuova serie di accelerazioni del flusso di lavoro abilitate dall’IA.

Cosa succede dopo

Sebbene abbiano iniziato le loro esplorazioni con OpenAI’s GPT, continuano a seguire la crescita incredibile nel mercato di nuovi modelli e piattaforme costruite intorno ai LLM provenienti da ogni angolo del settore tecnologico. Oltre al lavoro con GPT, Corelight ha inoltre sviluppato relazioni collaborative con altri sviluppatori di LLM.

I rilevamenti di ML e i flussi di lavoro assistiti da ML sono solo alcune delle modalità con cui Corelight utilizza l’IA nei suoi prodotti, ma c’è molto altro che accade dietro le quinte. 

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI