Connect with us

Leader di pensiero

Fidarsi degli agenti SOC di AI con attività SOC critiche per la missione

mm
Published
Updated

I grandi modelli linguistici (LLM) e gli agenti di AI stanno avendo un impatto significativo in molti campi, tra cui cybersecurity. Il cielo è il limite quando si tratta del loro potenziale. Tuttavia, giù sulla Terra, dove gli LLM sono integrati nei flussi di lavoro core dove vengono prese le decisioni aziendali, sono emersi molti problemi, in particolare intorno alla privacy e all’accuratezza dei dati. Ci si chiede: gli agenti di AI sono abbastanza affidabili per la mia attività?

Quando si tratta di cybersecurity e Security Operations Centers (SOCs), la risposta rapida, come abbiamo sentito per tutta la nostra carriera, è: Sì, con i controlli e le mitigazioni appropriati nei SOCs, gli agenti di AI possono essere distribuiti con successo e in modo sicuro in ambienti di produzione dove aggiungono un valore significativo lavorando a fianco degli analisti umani del SOC.

Sfide di sicurezza informatica di AI

Gli LLM pronti all’uso utilizzati come soluzione autonoma hanno diversi problemi fondamentali, come allucinazioni, avvelenamento dei dati e iniezione di prompt. Questi problemi possono causare gravi problemi in un SOC autonomo, tra cui:

Dati limitati che causano verdetti inaccurati – Gli agenti di AI necessitano di tutte le informazioni rilevanti dall’ambiente per svolgere il loro lavoro bene – almeno tanto dati quanto gli analisti di sicurezza umani hanno, e idealmente di più. I dati insufficienti portano gli agenti di AI a fare false supposizioni che possono variare tra esecuzioni di indagine. Se si limita l’accesso ai dati a causa di preoccupazioni di sicurezza o si limita la quantità di dati che l’AI può elaborare per motivi di budget, ci si può aspettare che l’accuratezza ne risenta.

Verdetti inconsistenti – Gli agenti di AI devono prendere decisioni e svolgere compiti in base ai dati che hanno raccolto. A causa della grande quantità di dati di sicurezza presenti negli ambienti tipici, è comune utilizzare un approccio di campionamento per bilanciare l’accuratezza con il budget. Quando le indagini vengono eseguite più volte, possono apparire differenze nel verdetto, nella sua gravità determinata e nelle azioni consigliate. Ciò è normale finché la differenza è entro un limite di tolleranza, e succede anche quando due diversi analisti umani esaminano la stessa allerta.

Ragionamento opaco, o il problema della “scatola nera” – Alcuni agenti di AI operano come sistemi opachi. I risultati di AI-driven SOC possono sembrare molto impressionanti all’inizio, ma per le decisioni aziendali importanti è necessario capire cosa ha portato l’AI SOC a prendere le sue azioni consigliate. Ciò, tuttavia, non è una limitazione intrinseca dell’AI, poiché alcuni agenti di AI si impegnano a essere trasparenti. È consigliabile convalidare gli agenti di AI a fondo in una Proof of Value prima di impegnarsi.

Come l’AI nella sicurezza informatica ha migliorato

Gli approcci di sicurezza informatica guidati da AI hanno fatto significativi passi avanti verso il miglioramento da quando sono stati introdotti per la prima volta. Si consideri il seguente:

Consensus utilizzando il campionamento Mitiga l’inconsistenza – Le incongruenze nelle decisioni o nei risultati possono essere efficacemente mitigate sfruttando più agenti di AI con diverse configurazioni (ad esempio, diversi modelli a diverse temperature) per interpretare i dati raccolti dalle operazioni degli agenti precedenti.

Utilizzare il campionamento consente alle organizzazioni di capire dove i diversi modelli di AI si allineano e dove divergono. Di conseguenza, affidarsi alle informazioni in cui tutti i modelli concordano e scartare le informazioni in cui differiscono può mitigare sostanzialmente l’inconsistenza.

È importante notare, tuttavia, che le informazioni in cui gli agenti di campionamento non concordano sono anche preziose poiché identificano l’incertezza e la necessità di migliori dati o input. Queste informazioni inconsistenti possono aiutare le organizzazioni a dare priorità all’accesso ai dati essenziali per una migliore presa di decisioni.

Procedure coerenti con i playbook di indagine – Una delle principali ragioni per cui più esecuzioni di un’indagine del SOC di AI risultano in esiti inconsistenti è la variazione non solo dei dati raccolti, ma anche delle ipotesi create o modificate durante l’indagine dell’agente di AI. Stabilire una guida di indagine di alto livello standardizzata per determinate categorie aiuta gli agenti a formare ipotesi più coerenti e migliora la coerenza complessiva del risultato. Questo non è un approccio nuovo – la maggior parte degli analisti del SOC umani si affida già alle procedure operative standard (SOP) per garantire indagini efficaci e coerenti. Gli agenti di AI possono utilizzare le SOP allo stesso modo.

Prove tracciabili Demistificano la scatola nera – Come best practice, un SOC di AI dovrebbe essere progettato fin dall’inizio con l’evidenza di supporto in mente. Ogni decisione e ipotesi che un agente fa deve essere supportata da informazioni di supporto, comprese le tracce di ragionamento e i dati grezzi che sostanziano quel ragionamento.

AI per la sicurezza informatica che è affidabile

Gli agenti di AI possono accelerare la rilevazione, la triage e la risposta alle minacce nella sicurezza informatica, ma introducono anche rischi reali – tra cui esiti inconsistenti, decisioni opache e sensibilità alla qualità dei dati. La fiducia per l’uso in ambienti critici per la missione richiede un ragionamento basato su prove, comprese tracce e artefatti grezzi; procedure operative strutturate per ridurre la varianza; campionamento multi-agente per separare il consenso dall’incertezza; e paratie per l’integrità dei dati, l’iniezione di prompt e i limiti di passo e budget.

Tutte queste correzioni critiche possono essere affrontate con approcci di AI di LLM avanzati progettati per affrontare la complessità delle operazioni di sicurezza informatica moderne. Ad esempio, alcuni approcci di LLM avanzati utilizzano un campionamento multi-agente avanzato per consentire alle organizzazioni di utilizzare l’intelligenza collettiva di modelli di AI diversi che collaborano per raggiungere un consenso, minimizzare le incongruenze e individuare le aree di incertezza. Le loro guide di indagine strutturate e chiare assicurano che i passaggi di analisi seguano le best practice e le procedure standardizzate, guidando la coerenza e l’affidabilità in ogni operazione.

La tracciabilità delle decisioni end-to-end comporta che ogni verdetto, raccomandazione e azione automatizzata sia revisionato e compreso per fornire la piena trasparenza ai team di sicurezza, costruendo al tempo stesso la fiducia con gli stakeholder. Integrando questi elementi chiave – e implementando controlli robusti per la qualità dei dati, la sicurezza e le paratie operative – gli approcci di agente di AI di LLM avanzati abilitano i SOCs a raggiungere risultati che sono non solo affidabili e trasparenti, ma anche pronti per la produzione per ambienti e attività reali critiche per la missione.

Related Topics:
mm

Ambuj Kumar è co-fondatore e CEO di Simbian, l'azienda di sicurezza alimentata da Gen AI la cui missione è risolvere la sicurezza con l'AI. Ambuj è un leader riconosciuto nello spazio della crittografia con oltre 30 brevetti nel settore - e multiple startup di successo. Ambuj è stato anche l'architetto principale di Cryptography Research Inc. dove ha guidato e sviluppato molte delle tecnologie di sicurezza dell'azienda che vanno in milioni di dispositivi ogni anno. In precedenza, ha lavorato per NVIDIA dove ha progettato i chip di computer più avanzati del mondo, inclusi il controller di memoria più veloce del mondo.