Il modello ChatGPT AI può filtrare più facilmente le attività dannose nella telemetria XDR, migliorare i filtri antispam e semplificare l'analisi di "Living Off the Land Binaries" - "LOLBins" in breve. Sophos lo ha recentemente pubblicato in un nuovo report.
L'argomento è il modello linguistico GPT-3, che è alla base del noto framework ChatGPT, e come l'industria della sicurezza informatica può utilizzare il modello per difendersi dagli aggressori. L'attuale report "GPT for You and Me: Applying AI Language Processing to Cyber Defenses" descrive i progetti sviluppati da Sophos X-Ops che utilizzano i modelli linguistici estesi di GPT-3. L'obiettivo è semplificare la ricerca di attività dannose nei record di dati del software di sicurezza, filtrare lo spam in modo più preciso e rapido e analizzare più rapidamente gli attacchi binari (LOLBin).
Usa l'intelligenza artificiale anche per la difesa
“Da quando OpenAI ha presentato ChatGPT nel novembre 2022, il settore della sicurezza si è ampiamente concentrato sui potenziali rischi che questa nuova tecnologia potrebbe comportare. L'intelligenza artificiale può aiutare gli aspiranti aggressori a scrivere malware o i criminali informatici a creare e-mail di phishing più convincenti? Forse, ma in Sophos abbiamo sempre visto l'IA come un alleato, non un nemico, per la difesa, rendendola una tecnologia fondamentale per Sophos, e lo stesso vale per GPT-3. Il settore della sicurezza non dovrebbe solo prestare attenzione ai potenziali rischi della tecnologia, ma anche alle possibili opportunità", ha affermato Sean Gallagher, Principal Threat Researcher di Sophos.
GPT-3 come assistente per la sicurezza informatica
I ricercatori di Sophos X-Ops stanno lavorando a tre prototipi che dimostrano il potenziale di GPT-3 come assistente dei difensori della sicurezza informatica. Tutti e tre i progetti utilizzano una tecnica chiamata "few-shot learning" per addestrare il modello AI con pochi campioni di dati, riducendo la necessità di raccogliere una grande quantità di dati pre-classificati.
La prima applicazione che Sophos ha testato utilizzando il metodo di apprendimento a pochi colpi è stata a Interfaccia di query in linguaggio naturale per eseguire la scansione di attività dannose nella telemetria del software di sicurezza. In particolare, Sophos ha convalidato il modello con la sua soluzione Endpoint Detection and Response. Con questa interfaccia, i difensori possono filtrare la telemetria con semplici comandi in inglese senza dover comprendere SQL o la struttura sottostante di un database.
Nuovo filtro antispam con ChatGPT
Successivamente, Sophos ha testato un nuovo filtro antispam utilizzando ChatGPT e lo ha trovato che il filtro con GPT-3 era significativamente più accurato rispetto ad altri modelli di machine learning per il filtraggio dello spam. Infine, i ricercatori di Sophos sono stati in grado di creare un programma che semplifica il reverse engineering delle righe di comando di LOLBins. Tale reverse engineering è notoriamente difficile, ma anche fondamentale per comprendere il comportamento di LOLBin e prevenire questi tipi di attacchi in futuro.
I SOC ricevono un forte aiuto
"Una delle crescenti preoccupazioni nei SOC (Security Operation Center) è l'enorme volume di 'rumore' che sta arrivando. Ci sono semplicemente troppi avvisi e rilevamenti da esaminare e molte organizzazioni stanno lottando con risorse limitate. Abbiamo dimostrato che con GPT-3 possiamo semplificare alcuni processi ad alta intensità di manodopera e restituire ai difensori tempo prezioso. Stiamo già lavorando all'integrazione di alcuni dei prototipi di cui sopra nei nostri prodotti e abbiamo reso disponibili i risultati dei nostri sforzi sul nostro GitHub per coloro che sono interessati a testare GPT-3 nei propri ambienti di analisi. Riteniamo che GPT-3 possa benissimo diventare un co-pilota per i professionisti della sicurezza in futuro", ha affermato Gallagher.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.