Sophos: jak z ChatGPT udělat pomocníka kyberbezpečnostních týmů

Model umělé inteligence dokáže snadněji filtrovat škodlivou aktivitu v telemetrii XDR, vylepšit spamové filtry a zjednodušit analýzu legitimního softwaru zneužívaného k útokům

Praha, 16. března 2023 – Sophos, celosvětový lídr a inovátor v oblasti poskytování kybernetické bezpečnosti formou služby, zveřejnil novou zprávu o tom, jak může odvětví kybernetické bezpečnosti využít GPT-3, jazykový model stojící za dnes již dobře známým frameworkem ChatGPT, jako pomocníka při boji s kyberútočníky. Nejnovější studie „Využití zpracování jazyka umělou inteligencí ke kybernetické obraně“ podrobně popisuje projekty vyvinuté expertním týmem Sophos X-Ops, které využívají rozsáhlé jazykové modely GPT-3 ke zjednodušení vyhledávání škodlivých aktivit v souborech dat z bezpečnostního softwaru, přesnějšímu filtrování spamu a zrychlení analýzy útoků prováděných prostřednictvím legitimního softwaru (tzv. útoky typu living off the land, LOLBin).

„Od listopadu, kdy společnost OpenAI představila ChatGPT, se bezpečnostní komunita převážně soustředila na potenciální rizika, která by tato nová technologie mohla přinést. Může umělá inteligence pomoci amatérským útočníkům při vytváření malwaru nebo kyberzločincům při psaní mnohem přesvědčivějších phishingových e-mailů? Možná, ale v Sophosu už dlouho považujeme umělou inteligenci spíše za spojence než nepřítele obránců, což z ní dělá pro Sophos velmi důležitou technologii. A to platí i pro GPT-3. Bezpečnostní komunita by měla věnovat pozornost nejen potenciálním rizikům, ale i příležitostem, které GPT-3 přináší,“ řekl Sean Gallagher, hlavní výzkumník hrozeb ve společnosti Sophos.

Výzkumníci Sophos X-Ops, včetně Younghoo Lee, hlavního datového vědce týmu SophosAI, pracovali na třech prototypech, které demonstrují potenciál GPT-3 jako pomocníka kyberbezpečnostních týmů. Všechny tři využívají techniku zvanou „few-shot learning“, která umožňuje trénovat model umělé inteligence jen s několika málo datovými vzorky, čímž se snižuje potřeba shromažďovat velký objem předem klasifikovaných dat.

První aplikací, kterou Sophos testoval pomocí metody few-shot learning, bylo rozhraní pro dotazování v přirozeném jazyce pro procházení škodlivých aktivit v telemetrii bezpečnostního softwaru. Specificky to Sophos testoval proti svému produktu na detekci hrozeb na koncových bodech a reakci na ně. Díky tomuto rozhraní mohou obránci filtrovat telemetrii pomocí základních příkazů v angličtině, čímž odpadá nutnost rozumět jazyku SQL nebo základní struktuře databáze.

Dále Sophos testoval nový spamový filtr využívající ChatGPT a zjistil, že ve srovnání s jinými modely strojového učení pro filtrování spamu, je filtr využívající GPT-3 výrazně přesnější. Nakonec se výzkumníkům společnosti Sophos podařilo vytvořit program, který zjednodušil proces reverzního inženýrství příkazových řádků LOLBin. Takové reverzní inženýrství je zpravidla velmi obtížné, ale je také velmi důležité pro pochopení útoků typu LOLBin – a pro jejich zastavení v budoucnu.

„Jednou z rostoucích obav v rámci bezpečnostních operačních center je obrovské množství přicházejícího ‘šumu’. Máme prostě příliš mnoho oznámení a detekcí, které je třeba třídit, a mnoho společností se potýká s omezenými zdroji. Dokázali jsme, že díky technologii jako GPT-3 můžeme zjednodušit některé pracné procesy a ušetřit obráncům cenný čas. Už pracujeme na začlenění některých výše uvedených prototypů do našich produktů a výsledky našeho úsilí jsme zpřístupnili na našem GitHubu pro zájemce o testování GPT-3 ve vlastních analytických prostředích. Věříme, že v budoucnu se GPT-3 může velmi dobře stát standardním pomocníkem bezpečnostních expertů,“ řekl Gallagher.