Le modèle d'IA ChatGPT peut filtrer plus facilement les activités malveillantes dans la télémétrie XDR, améliorer les filtres anti-spam et simplifier l'analyse des "Living Off the Land Binaries" -- "LOLBins" en abrégé. Sophos l'a récemment publié dans un nouveau rapport.
Le sujet est le modèle de langage GPT-3, qui est à l'origine du framework ChatGPT bien connu, et comment l'industrie de la cybersécurité peut utiliser le modèle pour se défendre contre les attaquants. Le rapport actuel "GPT for You and Me: Applying AI Language Processing to Cyber Defenses" décrit des projets développés par Sophos X-Ops qui utilisent les modèles de langage étendus de GPT-3. L'objectif est de simplifier la recherche d'activités malveillantes dans les enregistrements de données des logiciels de sécurité, de filtrer plus précisément et plus rapidement les spams et d'analyser plus rapidement les attaques binaires (LOLBin).
Utilisez l'IA pour la défense aussi
« Depuis qu'OpenAI a dévoilé ChatGPT en novembre 2022, l'industrie de la sécurité s'est largement concentrée sur les risques potentiels que cette nouvelle technologie pourrait entraîner. L'IA peut-elle aider les attaquants potentiels à écrire des logiciels malveillants ou les cybercriminels à créer des e-mails de phishing plus convaincants ? Peut-être, mais chez Sophos, nous avons toujours considéré l'IA comme un allié, pas un ennemi, pour la défense, ce qui en fait une technologie fondamentale pour Sophos, et il en va de même pour GPT-3. L'industrie de la sécurité ne doit pas seulement prêter attention aux risques potentiels de la technologie, mais aussi aux opportunités possibles », a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos.
GPT-3 comme assistant cybersécurité
Les chercheurs de Sophos X-Ops travaillent sur trois projets prototypes qui démontrent le potentiel de GPT-3 en tant qu'assistant des défenseurs de la cybersécurité. Les trois projets utilisent une technique appelée "apprentissage à quelques coups" pour former le modèle d'IA avec seulement quelques échantillons de données, réduisant ainsi la nécessité de collecter une grande quantité de données pré-classifiées.
La première application testée par Sophos à l'aide de la méthode d'apprentissage en quelques prises de vue était une Interface de requête en langage naturel pour analyser les activités malveillantes dans la télémétrie des logiciels de sécurité. Sophos a notamment validé le modèle avec sa solution Endpoint Detection and Response. Avec cette interface, les défenseurs peuvent filtrer la télémétrie avec de simples commandes en anglais sans avoir à comprendre SQL ou la structure sous-jacente d'une base de données.
Nouveau filtre anti-spam avec ChatGPT
🔎 ChatGPT peut détecter les spams encore plus finement (Image : Sophos).
Ensuite, Sophos a testé un nouveau filtre anti-spam à l'aide de ChatGPT et a trouvé que le filtre avec GPT-3 était nettement plus précis par rapport aux autres modèles d'apprentissage automatique pour le filtrage des spams. Enfin, les chercheurs de Sophos ont pu créer un programme qui facilite la rétro-ingénierie des lignes de commande de LOLBins. Une telle ingénierie inverse est notoirement difficile, mais également essentielle pour comprendre le comportement de LOLBin et prévenir ces types d'attaques à l'avenir.
Les SOC reçoivent une aide précieuse
"L'une des préoccupations croissantes des SOC (Security Operation Centers) est le volume considérable de 'bruit' qui arrive. Il y a tout simplement trop d'alertes et de détections à trier, et de nombreuses organisations sont aux prises avec des ressources limitées. Nous avons prouvé qu'avec GPT-3, nous pouvons simplifier certains processus à forte intensité de main-d'œuvre et faire gagner un temps précieux aux défenseurs. Nous travaillons déjà sur l'intégration de certains des prototypes ci-dessus dans nos produits et avons rendu les résultats de nos efforts disponibles sur notre GitHub pour ceux qui souhaitent tester GPT-3 dans leurs propres environnements d'analyse. Nous pensons que GPT-3 pourrait très bien devenir un copilote pour les professionnels de la sécurité à l'avenir », a déclaré Gallagher.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.