Het opsporen van kwaadaardige activiteiten in de cloud lijkt sterk op het zoeken naar een speld in een hooiberg. Beveiligingsprofessionals moeten dagelijks honderden valse meldingen doorploegen om legitieme beveiligingsincidenten te identificeren die nader onderzocht moeten worden.
Uit onderzoek van cyberbeveiligingsleverancier Orca Security blijkt zelfs dat 59% van de IT-beveiligingsprofessionals meer dan 500 beveiligingswaarschuwingen voor de publieke cloud per dag ontvangt. Een analist moet dan beslissen of hij de waarschuwing verder onderzoekt of negeert.
Maar al te vaak leidt deze grote hoeveelheid waarschuwingen tot een scenario waarin beveiligers het zo druk hebben met het beheren van triviale of onbelangrijke waarschuwingen dat ze niet in staat zijn om daadwerkelijke datalekken te identificeren en erop te reageren. Zo geeft 55% van de beveiligingsprofessionals toe wekelijks of dagelijks kritieke waarschuwingen te missen.
In het licht van deze uitdagingen wendt een groeiend aantal leveranciers van cyberbeveiliging zich tot generatieve AI om beveiligingsteams te helpen inzicht te krijgen in wat er gaande is in de cloud.
Een van deze leveranciers is Skyhawk Security, een leverancier van cloudbeveiliging met een waarde van 180 miljoen dollar, die eerder dit jaar aankondigde ChatGPT te gaan gebruiken om bedreigingen te detecteren.
Slimmer werken om bedreigingen te vinden met ChatGPT
Zichtbaarheid en context zijn cruciaal voor beveiligingsanalisten om te bepalen of een waarschuwing of bedreigingssignaal het teken is van een cyberaanval of een onschuldig vals alarm. Toch hebben analisten vaak te veel of te weinig gegevens om een beslissing te nemen zonder verder onderzoek.
Het antwoord van Skyhawk Security op deze situatie is de integratie van generatieve AI, de ChatGPT API, in zijn Cloud Detection Response (CDR) als onderdeel van twee oplossingen: Threat Detector en Security Advisor.
- Threat Detector gebruikt de ChatGPT API, die is getraind op miljoenen beveiligingssignalen van over het hele web, om cloudactiviteiten te analyseren en sneller waarschuwingen te genereren.
- Security Advisor biedt een samenvatting in natuurlijke taal van live alerts, samen met aanbevelingen over hoe te reageren en te herstellen.
In dit geval stelt het gebruik van generatieve AI gebruikers in staat om waarschuwingen veel sneller aan het licht te brengen en biedt het gebruikers meer context over hoe ze kunnen reageren op incidenten. Het doel hiervan is om datalekken in de kortst mogelijke tijd te kunnen oplossen.
Het is een geautomatiseerde aanpak van waarschuwingsbeheer die volgens Skyhawk ongelooflijk effectief is geweest. Uit tests blijkt dat het CDR-platform in 78% van de gevallen eerder waarschuwingen genereerde als het de ChatGPT API gebruikte als onderdeel van het proces voor het bepalen van bedreigingen.
Chen Burshan, CEO van Skyhawk Security, vertelde aan Techopedia:
“Generatieve AI was een natuurlijke vooruitgang voor Skyhawk, omdat we altijd op zoek zijn naar het verbeteren van onze dreigingsdetectie en generatieve AI beschouwen als een belangrijke kans om onze detectie en respons voor cloud-engineers en SOC-incidentresponders te verbeteren.”
Burshan voegde eraan toe: “We gebruiken het als een krachtvermeerderaar voor het SOC, wat helpt om het tekort aan cloud-geschoolde mankracht op te lossen.”
ChatGPT gebruiken voor clouddetectie en -respons
Als onderdeel van zijn oplossing maakt Skyhawk gebruik van een bestaande basis van machine learning (ML) algoritmen om bedrijfsmiddelen in de cloud te monitoren.
De ML is getraind om onderscheid te maken tussen kwetsbare activiteit en normaal gebruik en kan direct indicatoren van kwaadaardig gedrag (MBI’s) identificeren en volgen, zoals ongeautoriseerde toegang tot opslag, om deze MBI’s een bedreigingsscore toe te kennen. Zodra de bedreigingsscore een bepaalde drempel overschrijdt, wordt er een waarschuwing gegenereerd.
Wanneer de waarschuwing is gegenereerd, kan de bestaande ML-oplossing van Skyhawk vervolgens een aanvalssequentie creëren, waarbij de gebruiker een grafische verhaallijn van de gebeurtenis te zien krijgt, die samenvat wat er is gebeurd.
Vervolgens gebruikt Skyhawk zijn ChatGPT-detectors om de gegevens van het bestaande ML-gestuurde mechanisme voor het scoren van bedreigingen uit te breiden en te verrijken met extra parameters. Hiermee kunnen gebruikers de bedreigingsscores verifiëren die aan een bepaalde gebeurtenis zijn toegewezen.
Dit betekent dat beveiligingsbeheerders met meer vertrouwen kunnen bepalen op welke waarschuwingen ze moeten reageren en welke prioriteit ze hieraan moeten geven.
De beperkingen van generatieve AI in cyberbeveiliging
Generatieve AI kan nuttig zijn voor netwerkbeveiligers, maar organisaties moeten rekening houden met de beperkingen om de beste resultaten te behalen.
Burshan legt uit:
“Hoewel generatieve AI extreem krachtig is, moet het verstandig worden gebruikt om ervoor te zorgen dat het geen fouten introduceert, geen privacyproblemen creëert en nog veel meer aspecten die aandacht vereisen.”
In die zin is generatieve AI voor SOC-teams eerder een hulpmiddel dat menselijk onderzoek naar beveiligingsactiviteiten kan vergroten en stroomlijnen dan een oplossing die is ontworpen om het oplossen en reageren op bedreigingen volledig te automatiseren.
In dit stadium is generatieve AI het nuttigst als het in natuurlijke taal uitleg geeft over ondoorgrondelijke waarschuwingen en gegevens en gebruikers inzicht geeft in hoe ze effectief kunnen reageren.
Zoals Sunil Potti, VP en GM van Google Cloud Security, uitlegde in een blogpost na de lancering van Google’s security LLM in april 2023, “recente vooruitgang in kunstmatige intelligentie (AI), met name grote taalmodellen (LLM’s), versnelt ons vermogen om de mensen te helpen die verantwoordelijk zijn voor het veilig houden van hun organisaties.”
Potti voegde eraan toe:
“Deze nieuwe modellen geven mensen niet alleen een natuurlijkere en creatievere manier om beveiliging te begrijpen en te beheren, ze geven mensen ook toegang tot AI-gedreven expertise om verder te gaan dan wat ze alleen zouden kunnen doen.”
Kennis is macht
In een wereld van snel evoluerende cyberbedreigingen is kennis een krachtig wapen. Hoe meer context beveiligingsteams hebben om beslissingen te nemen over hoe te reageren op beveiligingsincidenten, des te beter ze in staat zijn om cloudomgevingen te beschermen tegen criminelen.
Door generatieve AI te implementeren, kunnen organisaties het voor analisten vereenvoudigen om te beslissen welke waarschuwingen moeten worden onderzocht en hoe ze moeten worden aangepakt, in plaats van hen dagelijks honderden keren te moeten vertrouwen om de juiste keuzes te maken.