Cách tích hợp các mô hình ngôn ngữ lớn (LLM) vào các công cụ SIEM
- Những điểm chính:
-
LLM được tích hợp vào SIEM như thế nào?
Chúng hỗ trợ truy vấn ngôn ngữ tự nhiên, tóm tắt sự cố và hỗ trợ phân loại tự động. -
Tại sao LLM lại có giá trị trong hoạt động an ninh?
Họ hạ thấp rào cản kỹ năng, giảm nhiễu và đẩy nhanh quá trình điều tra bằng cách diễn giải dữ liệu phức tạp một cách trực quan. -
Những trường hợp sử dụng thực tế của LLM trong SIEM là gì?
Tự động tạo báo cáo sự cố, trả lời câu hỏi của nhà phân tích và đối chiếu bối cảnh mối đe dọa. -
Những hạn chế của LLM trong lĩnh vực bảo mật là gì?
Chúng đòi hỏi phải có rào chắn, xác thực ngữ cảnh và điều chỉnh để tránh ảo giác và phản ứng không liên quan. -
Stellar Cyber sử dụng LLM trong nền tảng của mình như thế nào?
Nó tích hợp LLM để tăng cường điều tra, cung cấp tóm tắt cảnh báo và cải thiện tương tác giữa con người và máy móc trong SOC.
Các công cụ quản lý sự kiện và thông tin bảo mật (SIEM) cung cấp một cách đã được thử nghiệm và kiểm tra để đạt được hiểu biết sâu sắc ngay cả trong những môi trường phức tạp và rộng lớn nhất. Bằng cách tổng hợp dữ liệu nhật ký từ mọi góc của mạng, SIEM cung cấp chế độ xem tập trung về toàn bộ cơ sở hạ tầng của bạn. Khả năng hiển thị này rất quan trọng - nhưng đôi khi, việc cung cấp đúng thông tin cho đúng người có thể là nút thắt cổ chai còn lại trong các biện pháp phòng thủ của bạn. Bài viết này sẽ khám phá những khả năng mới do các mô hình ngôn ngữ lớn (LLM) mang lại trong an ninh mạng, đặc biệt là liên quan đến các công cụ SIEM.
SIEM thế hệ tiếp theo
Stellar Cyber SIEM thế hệ tiếp theo, là một thành phần quan trọng trong Nền tảng Stellar Cyber Open XDR...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện và ứng phó ngay lập tức với mối đe dọa. Lên lịch demo của bạn ngay hôm nay!
Những kẻ tấn công đã sử dụng LLM để chống lại các hệ thống quan trọng
Chúng ta đã thảo luận GenAI là như thế nào chuyển đổi tấn công kỹ thuật xã hội, nhưng LLM có sẵn công khai đang hỗ trợ các nhóm đe dọa nâng cao theo vô số cách khác. mới nhất của Microsoft Báo cáo Tín hiệu mạng nêu chi tiết cách các nhóm như nhóm tình báo của quân đội Nga đã tiến hành trinh sát với GenAI.
Một trọng tâm chính của nhóm đe dọa – được đặt tên là Forest Blizzard – là thăm dò các công nghệ vệ tinh và radar ở Ukraine. Điều này bao gồm các yêu cầu ChatGPT cung cấp bản thiết kế kỹ thuật và giải thích về các giao thức liên lạc. Các nhóm được quốc gia hậu thuẫn khác cũng được quan sát thấy đang sử dụng công cụ của OpenAI theo cách tương tự: Salmon Typhoon do ĐCSTQ hậu thuẫn đang tích cực sử dụng công cụ này để lấy thông tin về các cá nhân cấp cao và ảnh hưởng của Hoa Kỳ. Về cơ bản, LLM đã trở thành một phần trong bộ công cụ thu thập thông tin tình báo của các tác nhân đe dọa. Họ còn sử dụng LLM để nâng cao các kỹ thuật tạo tập lệnh như thao tác với tệp.
LLM trong SIEM: Các mô hình ngôn ngữ lớn được áp dụng như thế nào
1. Phân tích lừa đảo
Là một công cụ bảo mật hỗ trợ bảo mật tích hợp, SIEM có thể giúp chứng thực các dấu hiệu lừa đảo khi kẻ tấn công sử dụng nó để chống lại người dùng cuối. Các dấu hiệu về nỗ lực tấn công lừa đảo như nghi ngờ rò rỉ dữ liệu và liên lạc với các máy chủ thù địch đã biết có thể bị phát hiện trước khi cuộc tấn công được thực hiện đầy đủ.
Tuy nhiên – các cuộc tấn công lừa đảo hầu như chỉ dựa vào đúng thông điệp đến đúng người dùng vào đúng thời điểm. Là mô hình ngôn ngữ, LLM hoàn toàn phù hợp để phân tích mục đích của thông điệp; cùng với các hoạt động kiểm tra và cân bằng chủ động nhằm đánh giá tính hợp lệ của các tệp hoặc URL đính kèm, ngăn chặn lừa đảo là một cơ chế bảo mật được hưởng lợi rất nhiều từ sự phổ biến liên tục của LLM. Ngay cả việc đào tạo nhân viên cũng có thể mong đợi những cải tiến nhờ những LLM này. Bằng cách giúp các nhóm bảo mật tạo ra các email, thư thoại và tin nhắn SMS thực tế và thích ứng hơn trong các cuộc tấn công giả, nhân viên của bạn có thể phát hiện ra email thật trong thời gian ngắn. Phương pháp phát hiện và giáo dục kép này giúp giảm đáng kể nguy cơ xảy ra các cuộc tấn công lừa đảo.
2. Phân tích sự cố nhanh chóng
Sự cố an ninh mạng có thể xảy ra bất cứ lúc nào, điều quan trọng là các nhà phân tích bảo mật phải phản ứng nhanh chóng để ngăn chặn và giảm thiểu tác động của chúng. Và mặc dù những kẻ tấn công đã sử dụng LLM để hiểu và xác định các lỗ hổng tiềm ẩn trong phần mềm và hệ thống, nhưng cách tiếp cận tương tự có thể hoạt động theo cả hai cách.
Trong những thời điểm cần phản hồi tốc độ cao, một cái nhìn tổng quan nhanh có thể mang lại cho các nhà phân tích theo yêu cầu khả năng nhanh chóng ghép các mảnh ghép rộng hơn lại với nhau. Các LLM này không chỉ giúp phát hiện sự bất thường mà còn hướng dẫn các nhóm bảo mật điều tra những điểm bất thường này. Hơn nữa, họ có thể tự động hóa phản hồi đối với các sự cố cụ thể, chẳng hạn như đặt lại mật khẩu hoặc cách ly các điểm cuối bị xâm phạm, từ đó hợp lý hóa quy trình ứng phó sự cố.
3. Công cụ tích hợp SIEM
Tầm quan trọng của thời gian của các nhà phân tích có nghĩa là – khi triển khai và tích lũy kinh nghiệm với công cụ SIEM mới – tình hình bảo mật của tổ chức đòi hỏi phải hết sức cẩn thận và thận trọng. Nếu một nhà phân tích vẫn chưa cảm thấy thoải mái khi sử dụng một công cụ với khả năng tốt nhất của mình, thì vẫn cần phải thực hiện những lợi ích chưa thực hiện được.
Mặc dù bạn có thể chờ đợi và để các nhà phân tích của bạn tìm ra sự phức tạp của một công cụ một cách tự nhiên, nhưng đó chắc chắn không phải là cách hiệu quả nhất – ngược lại, việc kéo họ ra khỏi các nhiệm vụ hàng ngày để đào tạo công cụ dài dòng cũng không hiệu quả tương tự. Đạt được điểm trung bình hoàn hảo, chức năng LLM có thể truy cập có thể được tích hợp vào công cụ SIEM mới, có thể đề xuất các cách điều hướng, tích hợp và sử dụng thay thế, nhanh hơn, giúp san bằng khoảng cách kỹ năng khi các nhà phân tích thực sự cần nó.
4. Lập kế hoạch ứng phó sự cố
Kế hoạch ứng phó sự cố (IRP) phác thảo các bước cần thiết mà tổ chức phải thực hiện để phục hồi sau nhiều lỗi khác nhau, chẳng hạn như nhiễm phần mềm độc hại. Các kế hoạch này thường dựa vào Quy trình vận hành tiêu chuẩn (SOP) để hướng dẫn các hành động cụ thể, như bảo mật tài khoản hoặc cách ly thiết bị mạng. Tuy nhiên, nhiều công ty thiếu các SOP cập nhật hoặc hoàn toàn không có chúng, khiến nhân viên phụ thuộc một cách ngây thơ vào nhân viên để quản lý các sự cố căng thẳng cao độ.
LLM có thể đóng một vai trò quan trọng trong việc soạn thảo IRP ban đầu, đề xuất các phương pháp hay nhất và xác định các lỗ hổng tài liệu. Họ cũng có thể hỗ trợ và thúc đẩy sự tham gia của các bên liên quan bằng cách chuyển đổi thông tin tuân thủ và bảo mật phức tạp thành các bản tóm tắt có liên quan và dễ tiếp cận. Điều này giúp nâng cao khả năng ra quyết định và giúp nhân viên ưu tiên trong thời kỳ khủng hoảng.
Bằng cách tích hợp LLM vào các công cụ SIEM, các tổ chức có thể cải thiện tình trạng an ninh mạng, hợp lý hóa hoạt động và nâng cao khả năng ứng phó sự cố, đảm bảo họ được chuẩn bị tốt hơn để đối mặt với các mối đe dọa ngày càng gia tăng.
Cân nhắc về Tuân thủ
Data Management
Quản lý đăng nhập
Quản lý nhật ký bao gồm việc thu thập, lưu trữ và phân tích các tệp nhật ký do máy tính tạo để theo dõi và xem xét hoạt động: đó là nền tảng về cách các công cụ SIEM phân tích và bảo vệ hệ thống trong tổ chức của bạn. Ví dụ: các chỉ thị của chính phủ như M-31-21 quy định rằng những nhật ký này cần được lưu trữ tối thiểu một năm. Nền tảng LLM đám mây đã cho phép thu thập dữ liệu hợp lý xung quanh các yêu cầu và danh tính của người dùng; và như Kiến trúc SIEM đã hoàn thiện theo hướng quản lý nhật ký hiệu quả, ngay cả các LLM tương đối nặng về log cũng mang lại lợi ích cho vấn đề bảo mật nhờ phân tích nhật ký tự động của công cụ SIEM.
Tiếp cận tiềm năng SIEM thế hệ tiếp theo của bạn với Stellar Cyber
Việc chuyển sang SIEM được hỗ trợ bởi ML không cần phải đại tu toàn bộ công cụ bảo mật rộng hơn của bạn. Thay vào đó, hãy chọn một công cụ vừa cấp SIEM thế hệ tiếp theo vừa tích hợp với toàn bộ danh sách thiết bị, mạng và giải pháp bảo mật hiện có của bạn. SIEM thế hệ tiếp theo của Stellar Cyber cung cấp giải pháp thống nhất dựa trên AI giúp đơn giản hóa và tăng cường hiệu suất.
