Een keynote-presentator op Black Hat beschreef AI in zijn huidige vorm als “als een tiener die dingen verzint, liegt en fouten maakt”. Twee leden van het Google Cloud-team presenteerden hoe de mogelijkheden van Large Language Models (LLM), zoals GPT-4 en PalM, een rol kunnen spelen in cyberbeveiliging, op gebied van CTI, waardoor mogelijk een aantal van de problemen kunnen opgelost worden
Huidige LLM’s onvoldoende volwassen voor taken op hoog niveau
17 augustus 2023 – Gebruik men de term ‘cyberthreat intelligence’ (CTI) met leden van cyberbeveiligingsteams in middelgrote tot grote bedrijven en het antwoord is vaak ‘we beginnen de mogelijkheden te onderzoeken’. Dit kunnen dezelfde bedrijven zijn die mogelijk te kampen hebben met een gebrek aan ervaren, hoogwaardige professionals in cyberbeveiliging.
Op Black Hat 23 presenteerden twee leden van het Google Cloud-team hoe de mogelijkheden van Large Language Models (LLM), zoals GPT-4 en PalM, een rol kunnen spelen in cyberbeveiliging, op gebied van CTI, waardoor mogelijk een aantal van de problemen kunnen opgelost worden. Dit lijkt misschien een toekomstconcept voor veel cyberbeveiligingsteams, daar ze nog steeds in de verkenningsfase zitten van de implementatie van een programma voor informatie over bedreigingen. Het kan ook een deel van het personneelsprobleem oplossen.
De basiselementen van bedreigingsinformatie
Er zijn drie kernelementen die een programma voor informatie over bedreigingen nodig heeft om te slagen: zichtbaarheid van bedreigingen, verwerkingscapaciteit en interpretatiecapaciteit. De potentiële impact van het gebruik van een LLM is dat het aanzienlijk kan helpen bij de verwerking en interpretatie. Het kan bijvoorbeeld toestaan dat aanvullende gegevens, zoals loggegevens, worden geanalyseerd terwijl deze door hun volume anders over het hoofd moeten worden gezien. De mogelijkheid om vervolgens output te automatiseren om vragen van het bedrijf te beantwoorden, neemt een belangrijke taak weg van het cyberbeveiligingsteam.
Bij de presentatie werd het idee gebruikt dat LLM-technologie wellicht niet in alle gevallen geschikt is werd gesuggereerd dat het zich zou moeten concentreren op taken die minder kritisch denken vereisen en waar grote hoeveelheden gegevens bij betrokken zijn. Dit laat de taken die meer kritisch denken vereisen echt in handen van menselijke experts. Een voorbeeld: als documenten moeten worden vertaald met het oog op attributie kan dit een belangrijk punt zijn daar een onnauwkeurigheid in attributie aanzienlijke problemen voor het bedrijf zou kunnen veroorzaken.
Net als bij andere taken waarvoor cyberbeveiligingsteams verantwoordelijk zijn, moet automatisering momenteel worden gebruikt voor taken met een lagere prioriteit en die minder kritiek zijn. Dit is geen weerspiegeling van de onderliggende technologie, maar een verklaring van waar de LLM-technologie zich in haar evolutie bevindt. Uit de presentatie bleek duidelijk dat die technologie een plaats heeft in de CTI-workflow, maar dat op dit ogenblik niet volledig kan worden betrouwd op correcte resultaten, en in meer kritieke omstandigheden kan een foutieve of onnauwkeurige antwoord een aanzienlijk probleem veroorzaken. Er lijkt een consensus te zijn over het gebruik van LLM in het algemeen. Er zijn tal van voorbeelden waarbij de gegenereerde output enigszins twijfelachtig is (output is somewhat questionable). Een keynote-presentator op Black Hat beschreef AI in zijn huidige vorm als “als een tiener die dingen verzint, liegt en fouten maakt”.
De toekomst?
“Ik ben er zeker van dat we over een paar jaar aan AI taken zullen overdragen die een deel van de besluitvorming automatiseren, zoals wijzigen van firewallregels, prioriteiten toekennen aan en patchen van kwetsbaarheden, automatiseren van het uitschakelen van systemen als gevolg van een dreiging, enz. Nu moeten we echter de expertise van mensen betrouwen om deze beslissingen te nemen. Het is absoluut noodzakelijk dat teams niet overhaast te werk gaan en technologie die nog in de kinderschoenen staat, implementeren in kritieke rollen als besluitvorming over cyberbeveiliging”, besluit Tony Anscombe, Chief Security Evangelist bij ESET.