Buatan Kecerdasan (AI) adalah simulasi kecerdasan manusia dalam mesin, memungkinkan sistem untuk belajar dari data, mengenali pola, dan membuat keputusan. Keputusan ini dapat mencakup memprediksi hasil, proses otomatisasi, dan mendeteksi anomali. Model Bahasa Besar (LLM) adalah model AI khusus yang dirancang untuk memproses, memahami, dan menghasilkan teks seperti manusia.
Model bahasa besar (LLM) dilatih pada data tekstual yang beragam dan luas. Mereka dirancang untuk memahami bahasa dan menerapkan pengetahuan di berbagai domain. LLMS seperti GPT-4 dan Claude 3.5 Haiku dirancang untuk memahami, menghasilkan, dan memanipulasi bahasa manusia.
Dalam artikel ini, kami mengeksplorasi manfaat dan kemampuan yang dapat diperoleh oleh para profesional keamanan dengan menerapkan asisten keamanan bertenaga LLM. LLMS dapat memperkaya data keamanan dalam Platform Informasi Keamanan dan Acara (SIEM) atau Extended Detection and Response (XDR). Integrasi semacam itu dapat mendukung para profesional dalam menangani tugas -tugas seperti analisis log, triase insiden, penciptaan aturan khusus, dan meningkatkan wawasan keamanan secara keseluruhan.
LLM dalam operasi keamanan
Operasi Keamanan (SECOPS) melibatkan mengidentifikasi, menangani, dan mengawasi pengurangan risiko keamanan siber dalam sistem TI organisasi. Praktik ini menggabungkan orang, proses, dan teknologi untuk bertahan melawan ancaman cyber.
Kegiatan-kegiatan ini dikelola dalam Pusat Operasi Keamanan (SOC), di mana tim yang berdedikasi menganalisis peringatan keamanan, menyelidiki kemungkinan insiden, dan menanggapi ancaman secara real-time. Analis keamanan menggunakan berbagai alat, termasuk SIEM dan XDR, untuk membantu tugas -tugas ini.
LLMS digunakan untuk pembuatan teks, terjemahan, peringkasan, dan tugas-tugas yang dianamkan. Fleksibilitas mereka telah membuat mereka berharga di berbagai industri, termasuk keamanan siber, memungkinkan deteksi ancaman yang lebih cepat, analisis otomatis, dan pengambilan keputusan yang cerdas.
Beberapa LLM tersedia, masing -masing dengan kekuatan unik mulai dari interaksi chatbot hingga otomatisasi perusahaan dan pembuatan konten kreatif. Beberapa contoh populer LLMS meliputi:
- Openai GPT
- Claude (Antropik)
- Google Gemini
- Panggilan sasaran
- Mistral yang Anda miliki
- Bloom (BigScience)
- Deepseek
Memanfaatkan LLMS sebagai Asisten untuk Profesional Keamanan
Secara tradisional, analis operasi keamanan mengandalkan penelitian, pengalaman, dan pengetahuan kolektif tim mereka untuk mendeteksi dan menanggapi ancaman dunia maya. Namun, dengan perubahan terus -menerus dalam lanskap ancaman, para profesional berusaha untuk menyeimbangkan keahlian mereka dengan augmentasi yang ditawarkan oleh AI.
Kami mengeksplorasi beberapa cara LLM diterapkan dalam tugas harian analis keamanan:
1. Analisis log dan pengayaan data: LLMS yang terlatih seperti ChatGPT dapat menafsirkan output dari solusi keamanan lainnya setelah mereka mendeteksi pola atau tanda tangan dari kegiatan jahat. Mereka juga dapat memperkaya peringatan keamanan dan menganalisis deskripsi teks untuk membantu analis triase dan merangkum insiden. Sementara LLMS mungkin belum menangani analisis log skala besar atau korelasi peristiwa yang kompleks, mereka sangat efektif untuk tugas-tugas yang lebih kecil yang mendukung alur kerja analis.
2. Ancaman Intelijen Integrasi: LLMS dapat membantu dengan memproses dan merangkum laporan eksternal atau menghubungkan taktik, teknik, dan prosedur (TTP) dari feed ancaman. Mereka dapat memberikan wawasan kontekstual yang dirangkum dengan menerjemahkan data yang tidak terstruktur dari forum dan obrolan web gelap, membuat data intelijen ancaman lebih mudah dicerna oleh tim keamanan. Ini juga dapat meningkatkan pemahaman analis tentang ancaman yang muncul dan menyarankan strategi penciptaan aturan. Sebagai contoh, Claude Haiku adalah model yang secara khusus disesuaikan untuk generasi bahasa yang kreatif dan ringkas. Ini membuatnya sangat efektif dalam menyalakan aplikasi yang menghadap pengguna.
3. Rekomendasi perbaikan kontekstual: Mengingat kemampuannya untuk memahami pertanyaan terkait keamanan, LLMS dapat menyarankan langkah-langkah perbaikan berdasarkan konteks insiden keamanan. Ini akan memudahkan analis keamanan untuk memahami dan bertindak berdasarkan langkah -langkah perbaikan tanpa keahlian yang mendalam.
4. Deteksi phishing: LLMS dapat membaca dan memahami teks email seperti manusia, tidak seperti filter berbasis kata kunci tradisional. Mereka menganalisis nada, tata bahasa, dan konteks, yang merupakan faktor penting dalam mengidentifikasi email phishing. Integrasi dengan solusi keamanan email dapat membantu mencegah kompromi email bisnis yang canggih (BEC) dan serangan phishing tombak secara real-time.
Penting untuk dicatat bahwa semua tanggapan yang dihasilkan oleh LLM mana pun harus ditinjau, karena kadang -kadang mungkin tidak akurat. Terlepas dari keterbatasan tertentu, LLM memberikan nilai bagi operasi keamanan dengan mengurangi upaya manual dan menawarkan bantuan berharga kepada analis keamanan.
Mengintegrasikan LLMS sebagai asisten cybersecurity menggunakan wazuh
Wazuh adalah platform keamanan open source yang membantu organisasi mendeteksi dan menanggapi ancaman keamanan dengan memantau kegiatan sistem. Wazuh dapat berintegrasi dengan berbagai LLM untuk membantu operasi keamanan dalam membangun asisten cybersecurity untuk profesional keamanan.
Kasus penggunaan di bawah ini menggambarkan bagaimana integrasi tersebut akan diimplementasikan dalam praktiknya.
Deteksi ancaman dan pengayaan peringatan
LLMS dapat memperkaya peringatan yang dihasilkan oleh solusi deteksi ancaman lainnya, seperti Yara, alat open source untuk mengidentifikasi dan mengklasifikasikan malware.
Dalam hal ini Bukti Konsepmodul respons aktif Wazuh menggunakan chatgpt untuk memperkaya hasil pemindaian Yara, memberikan informasi tambahan tentang ancaman yang terdeteksi. Untuk mencapai ini, Pemantauan integritas file wazuh terus menerus memantau direktori spesifik pada titik akhir untuk penambahan atau modifikasi apa pun.
Jika file berbahaya diunduh ke salah satu folder yang dipantau, modul FIM mendeteksi perubahan dan memicu wazuh Respons aktif modul. Modul ini kemudian menjalankan pemindaian Yara untuk menganalisis file ancaman potensial.
Setelah Yara mengidentifikasi file jahat, ChatGPT memperkaya peringatan dengan detail tentang ancaman yang terdeteksi, membantu tim keamanan lebih memahami dan menanggapi insiden tersebut. File berbahaya yang diidentifikasi kemudian dihapus oleh respons aktif wazuh.
Pada gambar di bawah ini, ChatGPT memberikan lebih banyak konteks pada file jahat yang terdeteksi oleh Yara.
Posting blog Audit keamanan nmap dan chatgpt dengan wazuh Menunjukkan kasus penggunaan lain untuk meningkatkan postur keamanan organisasi dengan memperkaya peringatan keamanan.
Dalam posting blog ini, ChatGPT digunakan untuk memberikan lebih banyak wawasan tentang laporan pemindaian dari NMAP (Network Mapper).
Operasi Keamanan Asisten Virtual
Dalam kasus penggunaan ini, Claude haiku llm terintegrasi dengan wazuh Untuk menyediakan antarmuka obrolan di dalam dasbor Wazuh. Ini memungkinkan pengguna untuk menanyakan model tentang pertanyaan terkait keamanan, memberikan wawasan kontekstual dan mempercepat proses pengambilan keputusan selama penyelidikan ancaman.
Integrasi ini memanfaatkan pemrosesan bahasa alami (NLP) untuk memberikan bantuan intelijen.
Gambar di bawah ini menunjukkan respons yang dihasilkan oleh claude haiku llm yang terintegrasi dengan dasbor wazuh. Ini menunjukkan respons terhadap kueri, “Apa ID mitra untuk kebingungan?”
Kesimpulan
Mengintegrasikan LLM dengan proses operasi keamanan dan solusi akan meningkatkan nilai yang ditawarkan oleh tim keamanan dengan mengurangi beban kerja analis dan mempercepat pengambilan keputusan selama penyelidikan ancaman.
Ini juga akan meningkatkan postur keamanan organisasi dan efisiensi operasional dengan memberdayakan mekanisme pertahanan proaktif.
Pelajari lebih lanjut tentang Wazuh.
Disponsori dan ditulis oleh Wazuh.
