Das KI-Modell ChatGPT kann bösartige Aktivitäten in XDR-Telemetriedaten leichter filtern, Spam-Filter verbessern und die Analyse von „Living Off the Land Binaries“ – kurz „LOLBins“ – vereinfachen. Das hat Sophos aktuell in einen neuen Report veröffentlicht.
Thema ist das GPT-3-Sprachmodell, das hinter dem bekannten ChatGPT-Framework steht, und wie die Cybersecurity-Branche das Modell für die Abwehr von Angreifern nutzen kann. Der aktuelle Report „GPT for You and Me: Applying AI Language Processing to Cyber Defenses“ beschreibt Projekte, die von Sophos X-Ops entwickelt wurden und die umfangreichen Sprachmodelle von GPT-3 nutzen. Ziel ist die vereinfachte Suche nach bösartigen Aktivitäten in Datensätzen von Sicherheitssoftware, das genauere und schnellere Filtern von Spam sowie die schnellere Analyse von Binär-Attacken (LOLBin).
KI auch für die Verteidigung nutzen
„Seit der Vorstellung von ChatGPT durch OpenAI im November 2022 hat sich die Sicherheitsbranche weitgehend auf die potenziellen Risiken konzentriert, die diese neue Technologie mit sich bringen könnte. Kann die KI den Möchtegern-Angreifern beim Schreiben von Malware oder Cyberkriminellen beim Verfassen überzeugenderer Phishing-E-Mails helfen? Vielleicht, aber wir bei Sophos sehen KI seit jeher als Verbündeten und nicht als Feind für die Verteidigung, was sie zu einer Eckpfeilertechnologie für Sophos macht, und das gilt auch für GPT-3. Die Sicherheitsbranche sollte nicht nur auf die potenziellen Risiken der Technologie achten, sondern auch auf die möglichen Chancen“, sagt Sean Gallagher, Principal Threat Researcher bei Sophos.
GPT-3 als Assistent für Cybersecurity
Die Forscher von Sophos X-Ops arbeiten an drei Prototyp-Projekten, die das Potenzial von GPT-3 als Assistent für Cybersecurity-Verteidiger demonstrieren. Alle drei Projekte nutzen eine Technik namens „few-shot learning“, um das KI-Modell mit nur wenigen Datenproben zu trainieren und so die Notwendigkeit zu verringern, eine große Menge an vorklassifizierten Daten zu sammeln.
Die erste Anwendung, die Sophos mit der „few-shot learning“-Methode getestet hat, war ein Natural Language Query Interface zum Durchsuchen bösartiger Aktivitäten in der Telemetrie von Sicherheitssoftware. Sophos hat das Modell insbesondere mit seiner Endpoint Detection and Response-Lösung geprüft. Mit dieser Schnittstelle können Verteidiger die Telemetrie mit einfachen englischen Befehlen filtern, ohne SQL oder die zugrunde liegende Struktur einer Datenbank verstehen zu müssen.
Neuer Spam-Filter mit ChatGPT
🔎 ChatGPT kann Spam noch feiner erkennen (Bild: Sophos).
Als nächstes testete Sophos einen neuen Spam-Filter mit ChatGPT und stellte fest, dass der Filter mit GPT-3 im Vergleich zu anderen maschinellen Lernmodellen für die Spam-Filterung deutlich genauer war. Schließlich konnten die Forscher von Sophos ein Programm erstellen, das das Reverse-Engineering der Befehlszeilen von LOLBins vereinfacht. Ein solches Reverse-Engineering ist bekanntermaßen schwierig, aber auch entscheidend, um das Verhalten von LOLBins zu verstehen und diese Art von Angriffen in Zukunft zu unterbinden.
SOCs bekommen eine starke Hilfe
„Eine der wachsenden Sorgen in SOCs (Security Operation Center) ist die schiere Menge an ‚Lärm‘, die hereinkommt. Es gibt einfach zu viele Meldungen und Erkennungen, die sortiert werden müssen, und viele Unternehmen haben mit begrenzten Ressourcen zu kämpfen. Wir haben bewiesen, dass wir mit GPT-3 bestimmte arbeitsintensive Prozesse vereinfachen und den Verteidigern wertvolle Zeit zurückgeben können. Wir arbeiten bereits daran, einige der oben genannten Prototypen in unsere Produkte zu integrieren und haben die Ergebnisse unserer Bemühungen auf unserem GitHub für diejenigen bereitgestellt, die GPT-3 in ihren eigenen Analyseumgebungen testen möchten. Wir glauben, dass GPT-3 in Zukunft sehr wohl ein Co-Pilot für Sicherheitsexperten werden kann“, so Gallagher.
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.