Come integrare i modelli linguistici di grandi dimensioni (LLM) negli strumenti SIEM

  • Punti Salienti:
  • Come vengono integrati gli LLM nel SIEM?
    Supportano le query in linguaggio naturale, riepilogano gli incidenti e aiutano nel triage automatizzato.
  • Perché gli LLM sono utili nelle operazioni di sicurezza?
    Abbassano le barriere di competenza, riducono il rumore e accelerano le indagini interpretando dati complessi in modo intuitivo.
  • Quali sono i casi di utilizzo pratico degli LLM in SIEM?
    Generazione automatica di report sugli incidenti, risposta alle domande degli analisti e correlazione del contesto della minaccia.
  • Quali sono i limiti degli LLM in termini di sicurezza?
    Richiedono protezioni, convalida del contesto e messa a punto per evitare allucinazioni e risposte irrilevanti.
  • In che modo Stellar Cyber ​​utilizza gli LLM nella sua piattaforma?
    Integra gli LLM per migliorare le indagini, fornire riepiloghi degli avvisi e migliorare l'interazione uomo-macchina nel SOC.

Gli strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM) offrono un metodo collaudato per ottenere informazioni approfondite anche negli ambienti più estesi e complessi. Aggregando i dati di log da ogni angolo della rete, i SIEM offrono una visione centralizzata dell'intera infrastruttura. Questa visibilità è fondamentale, ma a volte fornire le informazioni giuste alla persona giusta può rappresentare il collo di bottiglia nelle difese. Questo articolo esplorerà le nuove possibilità offerte dai modelli linguistici di grandi dimensioni (LLM) nella sicurezza informatica, in particolare per quanto riguarda gli strumenti SIEM.

Scheda tecnica di nuova generazione-pdf.webp

SIEM di nuova generazione

Stellar Cyber ​​Next-Generation SIEM, come componente fondamentale all'interno della piattaforma Stellar Cyber ​​Open XDR...

Download scheda
immagine-demo.webp

Scopri la sicurezza basata sull'intelligenza artificiale in azione!

Scopri l'intelligenza artificiale all'avanguardia di Stellar Cyber ​​per il rilevamento e la risposta alle minacce istantanee. Pianifica la tua demo oggi stesso!

Pianificare un demo

Gli aggressori stanno già utilizzando LLM contro i sistemi critici

Abbiamo già discusso di come GenAI sia trasformare l'attacco di ingegneria sociale, ma gli LLM disponibili al pubblico stanno aiutando i gruppi di minacce avanzate in una miriade di altri modi. Il più recente di Microsoft Rapporto sui segnali informatici descrive in dettaglio come gruppi come la coorte di intelligence dell'esercito russo abbiano condotto ricognizioni con GenAI.

Uno degli obiettivi principali del gruppo di minacce, soprannominato Forest Blizzard, è l'esplorazione delle tecnologie satellitari e radar in Ucraina. Ciò includeva richieste a ChatGPT di fornire progetti tecnici e spiegazioni sui protocolli di comunicazione. Si è osservato che altri gruppi sostenuti dalla nazione utilizzano gli strumenti di OpenAI in modi simili: Salmon Typhoon, sostenuto dal CCP, lo sta utilizzando attivamente per reperire informazioni su individui di alto profilo e sull'influenza degli Stati Uniti. In sostanza, gli LLM sono già diventati parte dei toolkit di raccolta di informazioni degli attori delle minacce. Stanno inoltre utilizzando gli LLM per migliorare le tecniche di scripting come la manipolazione dei file.

LLM in SIEM: come vengono applicati i modelli linguistici di grandi dimensioni

Microsoft ha già iniziato a sperimentare l'integrazione di GenAI in una soluzione SIEM preesistente: di conseguenza, hanno visto gli analisti svolgere le attività il 26% più velocemente in uno studio randomizzato controllato. Per stabilire come, date un'occhiata alle quattro seguenti applicazioni degli LLM negli strumenti SIEM. 

1. Analisi del phishing

Come strumento di sicurezza che supporta la sicurezza integrata, SIEM può aiutare a corroborare gli indicatori di phishing quando gli aggressori lo usano contro gli utenti finali. Gli indicatori di tentativi di attacchi di phishing come la sospetta perdita di dati e la comunicazione con host ostili noti possono essere intercettati prima che un attacco sia stato eseguito completamente.

Tuttavia, gli attacchi di phishing si basano quasi esclusivamente sul messaggio giusto che raggiunge l'utente giusto al momento giusto. In quanto modelli linguistici, gli LLM sono perfettamente adatti ad analizzare l'intento di un messaggio; insieme ai controlli e ai bilanciamenti proattivi che valutano la validità dei file allegati o degli URL, la prevenzione del phishing è un meccanismo di sicurezza che trarrà grandi vantaggi dalla continua popolarità degli LLM. Anche la formazione dei dipendenti può aspettarsi miglioramenti grazie a questi LLM. Aiutando i team di sicurezza a creare e-mail, messaggi vocali e messaggi SMS più realistici e adattivi in ​​attacchi simulati, i dipendenti sono in grado di rilevare quelli veri al momento giusto. Questo duplice approccio di rilevamento e formazione riduce significativamente il rischio che gli attacchi di phishing riescano a passare.

2. Analisi rapida degli incidenti

Gli incidenti di sicurezza informatica possono verificarsi in qualsiasi momento, rendendo fondamentale per gli analisti della sicurezza rispondere rapidamente per contenerne e mitigarne gli effetti. E mentre gli aggressori stanno già utilizzando gli LLM per comprendere e identificare potenziali vulnerabilità in software e sistemi, lo stesso approccio può funzionare in entrambi i modi.

Nei momenti in cui è richiesta una risposta ad alta velocità, una rapida panoramica può dare agli analisti di turno la possibilità di mettere insieme rapidamente il puzzle più ampio. Questi LLM non solo aiutano nel rilevamento delle anomalie, ma guidano anche i team di sicurezza nell'indagine di queste anomalie. Inoltre, possono automatizzare le risposte a incidenti specifici, come la reimpostazione delle password o l'isolamento degli endpoint compromessi, semplificando così il processo di risposta agli incidenti.

3. Integrazione dello strumento SIEM

La criticità del tempo degli analisti significa che, quando si effettua l'onboarding e si acquisisce esperienza con un nuovo strumento SIEM, la postura di sicurezza dell'organizzazione richiede maggiore attenzione e cautela. Se un analista non è ancora a suo agio nell'utilizzare uno strumento al meglio delle sue capacità, ci sono guadagni di postura non realizzati che devono ancora essere realizzati.

Sebbene sia possibile aspettare e lasciare che i tuoi analisti capiscano organicamente i dettagli di uno strumento, non è certamente il modo più efficiente; al contrario, distoglierli dalle attività quotidiane per una lunga formazione sugli strumenti è ugualmente inefficiente. Raggiungendo la perfetta via di mezzo, una funzione LLM accessibile può essere integrata in un nuovo strumento SIEM, che può suggerire modi alternativi e più rapidi di navigazione, integrazione e utilizzo, aiutando a livellare il divario di competenze quando e se gli analisti ne hanno realmente bisogno.

4. Pianificazione della risposta agli incidenti 

I piani di risposta agli incidenti (IRP) delineano i passaggi necessari che un'organizzazione deve intraprendere per riprendersi da vari guasti, come le infestazioni di malware. Questi piani spesso si basano su procedure operative standard (SOP) per guidare azioni specifiche, come la protezione di un account o l'isolamento di apparecchiature di rete. Tuttavia, molte aziende non dispongono di SOP aggiornate o non le hanno affatto, riponendo un affidamento francamente ingenuo sul personale per gestire incidenti ad alto stress.

Gli LLM possono svolgere un ruolo fondamentale nella stesura degli IRP iniziali, suggerendo le best practice e identificando le lacune nella documentazione. Possono anche supportare e promuovere il coinvolgimento degli stakeholder trasformando informazioni complesse sulla sicurezza e la conformità in riepiloghi pertinenti e accessibili. Ciò migliora il processo decisionale e aiuta il personale a stabilire le priorità in tempi di crisi.

Integrando gli LLM negli strumenti SIEM, le organizzazioni possono migliorare la propria strategia di sicurezza informatica, semplificare le operazioni e potenziare le capacità di risposta agli incidenti, assicurandosi di essere meglio preparate ad affrontare minacce in continua evoluzione.

Considerazioni sulla conformità

Sebbene la GenAI offra una serie di potenziali vantaggi, il suo status di tecnologia all'avanguardia implica che ci sono due aspetti da tenere d'occhio.

Gestione dei dati

Quando si integra l'IA nella propria azienda, è essenziale assicurarsi che i fornitori scelti offrano funzionalità integrate che limitino l'accesso dell'LLM solo a dipendenti e team specifici. Coinvolgere gli stakeholder del rischio informatico in tutta l'organizzazione dovrebbe aiutare a definire e allineare i controlli di accesso richiesti da ogni caso d'uso. Si consideri di chiedere al proprio fornitore SIEM una fattura del software e di chiarire in che modo i fornitori di strumenti di terze parti gestiscono e archiviano i dati di formazione e conversazione.

Log Management

La gestione dei log implica la raccolta, l'archiviazione e l'analisi di file di log generati dal computer per monitorare e rivedere l'attività: è il fondamento del modo in cui gli strumenti SIEM analizzano e proteggono i sistemi nella tua organizzazione. Ad esempio, direttive governative come M-31-21 impongono che questi log debbano essere archiviati per un minimo di un anno. Le piattaforme Cloud LLM consentono già un'acquisizione dati semplificata relativa alle richieste e all'identità degli utenti; e come L'architettura SIEM sta già maturando verso una gestione efficiente dei log, anche gli LLM relativamente pesanti in termini di log rappresentano un vantaggio per la sicurezza grazie all'analisi automatizzata dei log degli strumenti SIEM.

Raggiungi il tuo potenziale SIEM di nuova generazione con Stellar Cyber

Il passaggio al SIEM basato su ML non dovrebbe richiedere una revisione totale dei tuoi strumenti di sicurezza più ampi. Scegli invece uno strumento che garantisca sia il SIEM di nuova generazione sia che si integri con l'intero elenco di dispositivi, reti e soluzioni di sicurezza a disposizione. SIEM di nuova generazione di Stellar Cyber offre una soluzione unificata basata sull'intelligenza artificiale che semplifica e potenzia. 

Sembra troppo bello per
essere vero?
Guardalo tu stesso!

Richiedi una demo
Scorrere fino a Top
Iscriviti alle newsletter