مقالات

تقویت دفاع در تیم آبی: قدرت هوش مصنوعی

Posted by author-avatar
On ۱۴۰۴/۰۴/۱۸
۰ comments
تیم آبی قدرت هوش مصنوعی

هوش مصنوعی در حال تغییر حوزه امنیت سایبری در هر دو طرف نبرد است. همزمان با اینکه عاملان تهدید از هوش مصنوعی برای تقویت و تشدید حملات خود استفاده می‌کنند، تیمهای آبی که مسئول شناسایی تهدیدات امنیتی در محیط عملیاتی هستند، در حال بررسی چگونگی استفاده از مدل‌های زبانی بزرگ (LLM) برای بهبود عملکرد خود می باشند. LLM ها نویدبخش کمک به تیم های دفاعی نیز هستند، بنابراین جای تعجب نیست که تیم‌ها به طور فعال به دنبال راه‌هایی برای استفاده از این ابزارها برای کمک به انجام بهتر و سریع‌تر وظایف خود باشند.

با این حال، هوش مصنوعی یک راه حل جادویی نیست. برای اینکه تیمهای آبی بیشترین بهره را از این فناوری ببرند، ابتدا باید بفهمند که LLM ها چه کاری را می‌توانند به خوبی انجام دهند، سپس بفهمند که کدام بخش‌های گردش کارشان می‌تواند از قابلیت هوش مصنوعی به بهترین شکل بهره‌مند شود.

مدل های زبانی LLM چه کارهایی را می‌توانند به خوبی انجام دهند؟

اگرچه سرعت بالای پیشرفت هوش مصنوعی پیش‌بینی‌ها را می‌کند، اما نقاط قوت بسیاری در LLM ها وجود دارد که بعید است تغییر زیادی را تجربه کنند. این نقاط قوت عبارتند از:

  • تولید و دستکاری محتوا: ایجاد و یا تغییر در محتوا، چه متن، کد یا تصاویر، طبق دستورالعمل‌های انسانی
  • بازیابی اطلاعات: دسترسی آسان‌تر به اطلاعات مرتبط از یک پایگاه داده یا مجموعه اسناد از طریق پرس‌وجو یا چت
  • خلاصه‌سازی سند: استخراج داده‌ها یا حقایق کلیدی از یک سند
  • ترجمه زبان: می‌توانند متن یا کد را از یک زبان به زبان دیگر ترجمه کنند.
  • تحلیل و تفسیر: با آموزش مناسب مدل، مدل می‌تواند از محتوای ارائه شده، معنا را حدس بزند و نتیجه‌گیری کند.
  • دستورالعمل اجرایی: انواع خاصی از مدل‌ها می‌توانند دستورالعمل‌های گام به گام را با دقت بسیار بالا دنبال کنند.

اگرچه هر یک از این نقاط قوت می‌تواند به ساده‌سازی وظایف تیم آبی کمک کند، اما نظارت عامل انسانی همچنان حیاتی است. برای مثال، در خلاصه‌سازی اسناد، یکی از اعضای تیم آبی باید خروجی را بررسی کند تا مطمئن شود هر آنچه LLM اضافه می‌کند مربوط به کار تیم آبی است و اطلاعات مهمی را از قلم نینداخته باشند.

 

وقتی مدیران امنیتی فهمیدند که  LLM ها در چه زمینه‌هایی خوب هستند، گام بعدی درک موارد استفاده آنها و نقاط قوتی است که با آنها شناسایی می‌شوند.

همسوسازی نقاط قوت هوش مصنوعی با نیازمندیهای تیم آبی

کلید به حداکثر رساندن تأثیر هوش مصنوعی، یافتن جایی است که بیشترین ارزش را با کمترین تلاش ارائه می‌دهد. این نقاط معمولاً برخی از رایج‌ترین فرآیندها یا گردش‌های کاری شما خواهند بود. ممکن است فکر کنید که تشخیص خودکار حادثه، بارزترین مورد استفاده برای  LLM ها است. با این حال، ثابت شده است که این کار دشوارتر خواهد بود، در عوض، به دنبال موفقیت های بیشتر در برخی از عملکردهای دیگر SOC باشید.

Threat Intelligence

بخش عمده‌ای از کار پیرامون CTI شامل حجم کاری سنگین تحقیقاتی و ایجاد خلاصه‌ها، گزارش‌ها، ایمیل‌ها یا موارد مشابه است. به عنوان مثال، تیم‌های امنیت اغلب مسئول همه چیز از بررسی انجمن‌های وب تاریک گرفته تا تهیه گزارش‌های چشم‌انداز تهدید هستند. خلاصه‌سازی اسناد راهی عالی برای کمک به تیم شما در هضم اطلاعات بیشتر در همان مدت زمان است. همچنین، تولید محتوا می‌تواند به ساده‌سازی تولید اسناد قابل ارائه به ذینفعان کمک کند.

اولویت‌بندی هشدارها و حادثه ها

هر یک از این موارد استفاده، اگرچه از نظر فنی مجزا هستند، اما از طریق مجموعه‌ای از شش سؤال که هر تیم آبی باید پس از دریافت هشدار به آنها پاسخ دهد، به هم گره خورده‌اند:

  1. این هشدار به چه معناست؟
  2. آیا این یک حمله واقعی بود؟
  3. آیا حمله موفقیت‌آمیز بود؟
  4. چه دارایی‌هایی تحت تأثیر قرار گرفتند؟
  5. مهاجم چه کاری انجام داد (یا سعی کرد انجام دهد)؟
  6. چگونه باید پاسخ دهیم؟

سه سوال اول از همه تأثیرگذارتر هستند، زیرا فرآیند اولویت‌بندی هشدار مستلزم پاسخ دادن به آنها برای هر هشدار است. اگر پاسخ به سوال شماره ۲ یا ۳ “خیر” باشد، نیازی به پاسخ دادن به سوالات باقی‌مانده نیست. پاسخ سریع و دقیق به این سوالات برای اولویت‌بندی کارآمد بسیار مهم است، و همین امر آنها را به هدف اصلی کمک هوش مصنوعی تبدیل می‌کند.

شما می‌توانید از یک مدل زبانی آموزش‌دیده به درستی برای پاسخ به سوال اول استفاده کنید و جزئیات هشدار را به همراه داده‌های زمینه‌ای مانند آدرس‌هایIP، اطلاعات پورت و نام‌های میزبان در اختیار آن قرار دهید. با داشتن پایگاه داده مناسب، LLM می‌تواند نمونه‌هایی از فعالیت‌های مخرب و خوش‌خیم و همچنین راهنمایی در مورد نحوه قضاوت در مورد موفقیت‌آمیز بودن یا نبودن حمله ارائه دهد. هوش مصنوعی با کاهش زمان لازم برای پاسخ یک تحلیلگر به این سوالات کلیدی اولیه، پتانسیل آن را دارد که توانایی SOC را در مقابله با هشدارهای دریافتی به طور چشمگیری تسریع کند.

مستندسازی پس از حادثه

پس از هر حادثه، نکاتی وجود دارد که تیم آبی را برای پیشگیری و پاسخ به موقعیت‌های مشابه در آینده آماده می‌کند. برای کسانی که با مدل PICERL  برای پاسخ به حوادث امنیتی – آماده‌سازی، شناسایی، مهار، ریشه‌کنی، بازیابی، درس‌های آموخته‌شده – آشنا هستند، مرحله (درس‌های آموخته‌شده) محرک اصلی بهبود مستمر برای پاسخ به حوادث است.

قابلیت خلاصه‌سازی اسناد در هوش مصنوعی می‌تواند یادداشت‌های خام پاسخ را به محتوای قابل فهم برای سایر پاسخ‌دهندگان یا ذینفعان تبدیل کند. توانایی تولید محتوای آنها همچنین در ایجاد پیش‌نویس‌ گزارش‌های حادثه بسیار مفید است تا به ارائه توضیح دقیق‌تر از آنچه اتفاق افتاده و چرایی آن کمک کند. در هر صورت، اعضای تیم آبی باید خروجی‌ها را بررسی کنند تا از صحت آنها اطمینان حاصل شود، تأیید کنند که تمام اطلاعات کلیدی گنجانده شده است.

بهره برداری از کلیه امکانات موجود

تیمهای آبی نقش حیاتی در نبرد مداوم علیه عوامل تهدید ایفا می‌کنند و به هر ابزاری که در دسترس باشد نیاز دارند. گذشته از همه اینها، عوامل مخرب نیز از هوش مصنوعی استفاده می‌کنند.

تیمهای آبی باید راه‌حل‌های هوش مصنوعی را با اهداف خاص و هدفمند پیاده‌سازی کنند. مهم‌تر از آن، با وجود قابلیت‌های گسترده هوش مصنوعی، هر گردش کار همچنان باید توسط انسان هدایت شود. درک اینکه مدل هوش مصنوعی چه کاری می‌تواند انجام دهند، اولویت‌بندی اینکه در کجا بیشترین تأثیر را خواهند داشت و به طور مداوم هر مدل را آموزش دهید تا تیم‌های شما به بهترین نتایج برسند.

همکاران ما در سیندادسک تلاش می‌کنند تا مهم‌ترین رخدادهای امنیت سایبری را در اختیار شما قرار دهند، با عضویت در خبرنامه امنیت سایبری سیندادسک، جدیدترین مقالات را در ایمیل خود دریافت کنید.

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.