Come integrare i modelli linguistici di grandi dimensioni (LLM) in SIEM Strumenti

  • Punti Salienti:
  • Come vengono integrati gli LLM in SIEM?
    Supportano le query in linguaggio naturale, riepilogano gli incidenti e aiutano nel triage automatizzato.
  • Perché gli LLM sono utili nelle operazioni di sicurezza?
    Abbassano le barriere di competenza, riducono il rumore e accelerano le indagini interpretando dati complessi in modo intuitivo.
  • Quali sono i casi d'uso pratici per gli LLM in SIEM?
    Generazione automatica di report sugli incidenti, risposta alle domande degli analisti e correlazione del contesto della minaccia.
  • Quali sono i limiti degli LLM in termini di sicurezza?
    Richiedono protezioni, convalida del contesto e messa a punto per evitare allucinazioni e risposte irrilevanti.
  • In che modo Stellar Cyber ​​utilizza gli LLM nella sua piattaforma?
    Integra LLM per migliorare le indagini, fornire riepiloghi di avvisi e migliorare l'interazione uomo-macchina nell' SOC.

Informazioni sulla sicurezza e gestione degli eventi (SIEM) offrono un metodo collaudato per ottenere informazioni dettagliate anche negli ambienti più estesi e complessi. Aggregando i dati di log da ogni angolo della rete, SIEMOffrono una visione centralizzata dell'intera infrastruttura. Questa visibilità è fondamentale, ma a volte far arrivare le informazioni giuste alla persona giusta può rappresentare il collo di bottiglia nelle difese. Questo articolo esplorerà le nuove possibilità offerte dai modelli linguistici di grandi dimensioni (LLM) nella sicurezza informatica, in particolare per quanto riguarda SIEM strumenti.

Scheda tecnica di nuova generazione-pdf.webp

Next-Generation SIEM

Stellar Cyber ​​Next-Generation SIEM, come componente critico all'interno dello Stellar Cyber Open XDR Piattaforma...

Download scheda
immagine-demo.webp

Scopri la sicurezza basata sull'intelligenza artificiale in azione!

Scopri l'intelligenza artificiale all'avanguardia di Stellar Cyber ​​per il rilevamento e la risposta alle minacce istantanee. Pianifica la tua demo oggi stesso!

Pianificare un demo

Gli aggressori stanno già utilizzando LLM contro i sistemi critici

Abbiamo già discusso di come GenAI sia trasformare l'attacco di ingegneria sociale, ma gli LLM disponibili al pubblico stanno aiutando i gruppi di minacce avanzate in una miriade di altri modi. Il più recente di Microsoft Rapporto sui segnali informatici descrive in dettaglio come gruppi come la coorte di intelligence dell'esercito russo abbiano condotto ricognizioni con GenAI.

Uno degli obiettivi principali del gruppo di minacce, soprannominato Forest Blizzard, è l'esplorazione delle tecnologie satellitari e radar in Ucraina. Ciò includeva richieste a ChatGPT di fornire progetti tecnici e spiegazioni sui protocolli di comunicazione. Si è osservato che altri gruppi sostenuti dalla nazione utilizzano gli strumenti di OpenAI in modi simili: Salmon Typhoon, sostenuto dal CCP, lo sta utilizzando attivamente per reperire informazioni su individui di alto profilo e sull'influenza degli Stati Uniti. In sostanza, gli LLM sono già diventati parte dei toolkit di raccolta di informazioni degli attori delle minacce. Stanno inoltre utilizzando gli LLM per migliorare le tecniche di scripting come la manipolazione dei file.

LLM in SIEM: Come vengono applicati i modelli linguistici di grandi dimensioni

Microsoft ha già iniziato a sperimentare l'integrazione di GenAI in un sistema preesistente SIEM soluzione: di conseguenza, hanno visto gli analisti svolgere le attività il 26% più velocemente in uno studio randomizzato controllato. Per stabilire come, diamo un'occhiata alle quattro seguenti applicazioni degli LLM in SIEM strumenti. 

1. Analisi del phishing

Come strumento di sicurezza che supporta la sicurezza integrata, SIEM Può aiutare a corroborare gli indicatori di phishing quando gli aggressori lo utilizzano contro gli utenti finali. Indicatori di tentativi di attacchi di phishing, come la sospetta fuga di dati e la comunicazione con host ostili noti, possono essere individuati prima che un attacco venga eseguito completamente.

Tuttavia, gli attacchi di phishing si basano quasi esclusivamente sul messaggio giusto che raggiunge l'utente giusto al momento giusto. In quanto modelli linguistici, gli LLM sono perfettamente adatti ad analizzare l'intento di un messaggio; insieme ai controlli e ai bilanciamenti proattivi che valutano la validità dei file allegati o degli URL, la prevenzione del phishing è un meccanismo di sicurezza che trarrà grandi vantaggi dalla continua popolarità degli LLM. Anche la formazione dei dipendenti può aspettarsi miglioramenti grazie a questi LLM. Aiutando i team di sicurezza a creare e-mail, messaggi vocali e messaggi SMS più realistici e adattivi in ​​attacchi simulati, i dipendenti sono in grado di rilevare quelli veri al momento giusto. Questo duplice approccio di rilevamento e formazione riduce significativamente il rischio che gli attacchi di phishing riescano a passare.

2. Analisi rapida degli incidenti

Gli incidenti di sicurezza informatica possono verificarsi in qualsiasi momento, rendendo fondamentale per gli analisti della sicurezza rispondere rapidamente per contenerne e mitigarne gli effetti. E mentre gli aggressori stanno già utilizzando gli LLM per comprendere e identificare potenziali vulnerabilità in software e sistemi, lo stesso approccio può funzionare in entrambi i modi.

Nei momenti in cui è richiesta una risposta ad alta velocità, una rapida panoramica può dare agli analisti di turno la possibilità di mettere insieme rapidamente il puzzle più ampio. Questi LLM non solo aiutano nel rilevamento delle anomalie, ma guidano anche i team di sicurezza nell'indagine di queste anomalie. Inoltre, possono automatizzare le risposte a incidenti specifici, come la reimpostazione delle password o l'isolamento degli endpoint compromessi, semplificando così il processo di risposta agli incidenti.

3. SIEM Integrazione degli strumenti

La criticità del tempo degli analisti significa che – durante l’inserimento e l’acquisizione di esperienza con un nuovo SIEM Strumento: la sicurezza dell'organizzazione richiede particolare attenzione e cautela. Se un analista non è ancora in grado di utilizzare uno strumento al meglio delle sue capacità, ci sono miglioramenti di sicurezza non ancora realizzati che devono ancora essere realizzati.

Sebbene sia possibile aspettare e lasciare che gli analisti comprendano in modo organico le complessità di uno strumento, non è certamente il modo più efficiente; al contrario, distoglierli dalle attività quotidiane per una lunga formazione sullo strumento è altrettanto inefficiente. Raggiungendo la perfetta via di mezzo, una funzione LLM accessibile può essere integrata in un nuovo SIEM strumento che può suggerire metodi alternativi e più rapidi di navigazione, integrazione e utilizzo, contribuendo a colmare il divario di competenze quando e quando gli analisti ne hanno realmente bisogno.

4. Pianificazione della risposta agli incidenti 

I piani di risposta agli incidenti (IRP) delineano i passaggi necessari che un'organizzazione deve intraprendere per riprendersi da vari guasti, come le infestazioni di malware. Questi piani spesso si basano su procedure operative standard (SOP) per guidare azioni specifiche, come la protezione di un account o l'isolamento di apparecchiature di rete. Tuttavia, molte aziende non dispongono di SOP aggiornate o non le hanno affatto, riponendo un affidamento francamente ingenuo sul personale per gestire incidenti ad alto stress.

Gli LLM possono svolgere un ruolo fondamentale nella stesura degli IRP iniziali, suggerendo le best practice e identificando le lacune nella documentazione. Possono anche supportare e promuovere il coinvolgimento degli stakeholder trasformando informazioni complesse sulla sicurezza e la conformità in riepiloghi pertinenti e accessibili. Ciò migliora il processo decisionale e aiuta il personale a stabilire le priorità in tempi di crisi.

Integrando gli LLM in SIEM Grazie a questi strumenti, le organizzazioni possono migliorare la propria sicurezza informatica, semplificare le operazioni e potenziare le capacità di risposta agli incidenti, assicurandosi di essere meglio preparate ad affrontare minacce in continua evoluzione.

Considerazioni sulla conformità

Sebbene la GenAI offra una serie di potenziali vantaggi, il suo status di tecnologia all'avanguardia implica che ci sono due aspetti da tenere d'occhio.

Gestione dei dati

Quando si integra l'intelligenza artificiale nella propria azienda, è essenziale assicurarsi che i fornitori scelti offrano funzionalità integrate che limitino l'accesso all'LLM solo a dipendenti e team specifici. Coinvolgere gli stakeholder del rischio informatico in tutta l'organizzazione dovrebbe aiutare a definire e allineare i controlli di accesso richiesti da ciascun caso d'uso. Si consiglia di chiedere al proprio SIEM fornitore di una fattura software e chiarire come i fornitori di strumenti di terze parti gestiscono e archiviano i dati di formazione e conversazione.

Log Management

La gestione dei log implica la raccolta, l'archiviazione e l'analisi dei file di log generati dal computer per monitorare e rivedere l'attività: è il fondamento del modo in cui SIEM Gli strumenti analizzano e proteggono i sistemi della tua organizzazione. Ad esempio, direttive governative come la M-31-21 impongono che questi registri vengano conservati per almeno un anno. Le piattaforme Cloud LLM consentono già un'acquisizione semplificata dei dati relativi alle richieste e all'identità degli utenti; e come SIEM l'architettura sta già maturando verso una gestione efficiente dei log, anche gli LLM relativamente pesanti in termini di log rappresentano un vantaggio per la sicurezza grazie a SIEM analisi automatizzata dei log degli strumenti.

Raggiungi la tua prossima generazione SIEM Potenziale con Stellar Cyber

Fare il salto verso l'apprendimento automatico SIEM non dovrebbe richiedere una revisione totale dei tuoi strumenti di sicurezza più ampi. Scegli invece uno strumento che garantisca la sicurezza di nuova generazione SIEM e si integra con l'intero elenco di dispositivi, reti e soluzioni di sicurezza a tua disposizione. La prossima generazione di Stellar Cyber SIEM offre una soluzione unificata basata sull'intelligenza artificiale che semplifica e potenzia. 

Sembra troppo bello per essere vero?

Guardalo tu stesso!

Richiedi un demo
Scorrere fino a Top
Iscriviti alle newsletter