Connect with us

Thought Leaders

Powierzenie agentom SI w SOC działań o kluczowym znaczeniu dla misji

mm
Published
Updated

Duże modele językowe (LLM) i agenci SI mają znaczący wpływ na wiele dziedzin, w tym na cyberbezpieczeństwo. Ich potencjał jest nieograniczony. Jednak tu, na Ziemi, gdzie LLM są integrowane z kluczowymi procesami, w ramach których podejmowane są decyzje biznesowe, pojawiło się wiele problemów, szczególnie wokół prywatności i dokładności danych. Pozostaje nam więc pytanie: Czy agenci SI są wystarczająco godni zaufania dla mojej firmy?

Jeśli chodzi o cyberbezpieczeństwo i Centra Operacji Bezpieczeństwa (SOC), szybka odpowiedź, jaką słyszymy przez całą naszą karierę, brzmi: Tak, przy odpowiednich kontrolach i środkach zaradczych w SOC, agenci SI mogą być z powodzeniem i bezpiecznie wdrażani w środowiskach produkcyjnych, gdzie współpracując z ludzkimi analitykami SOC, dodają znaczącą wartość.

Wyzwania SI w cyberbezpieczeństwie

Gotowe LLM stosowane jako samodzielne rozwiązanie mają kilka kluczowych problemów, takich jak halucynacje, zatruwanie danych i iniekcja promptów. Problemy te mogą powodować poważne kłopoty w autonomicznym SOC, w tym:

Ograniczone dane prowadzące do nieprecyzyjnych werdyktów – Agenci SI potrzebują wszystkich istotnych informacji ze środowiska, aby dobrze wykonywać swoją pracę – przynajmniej tyle danych, ile mają ludzcy analitycy bezpieczeństwa, a idealnie więcej. Niewystarczające dane prowadzą agentów SI do fałszywych założeń, które mogą się różnić w kolejnych przebiegach dochodzenia. Jeśli ograniczysz dostęp do danych ze względów bezpieczeństwa lub z powodu budżetu ograniczysz zakres działania SI, spodziewaj się spadku dokładności.

Niespójne werdykty – Agenci SI muszą podejmować decyzje i wykonywać zadania na podstawie zebranych danych. Ze względu na ogromną ilość danych bezpieczeństwa w typowych środowiskach, powszechne jest stosowanie podejścia opartego na próbkowaniu, aby zrównoważyć dokładność z budżetem. Gdy dochodzenia są uruchamiane wielokrotnie, mogą pojawić się różnice w werdykcie, określonym poziomie zagrożenia i zalecanych działaniach. Jest to normalne, o ile różnica mieści się w granicach tolerancji, i zdarza się to nawet wtedy, gdy dwóch różnych ludzkich analityków przygląda się temu samemu alertowi.

Nieprzejrzyste rozumowanie, czyli problem “czarnej skrzynki” – Niektórzy agenci SI działają jako nieprzejrzyste systemy. Wyniki działania SOC napędzanego SI mogą początkowo wyglądać bardzo imponująco, ale przy ważnych decyzjach biznesowych musisz zrozumieć, co skłoniło SI w SOC do podjęcia zalecanych działań. Nie jest to jednak inherentne ograniczenie SI, ponieważ niektórzy agenci SI dokładają wszelkich starań, aby być przejrzystymi. Zaleca się dokładne walidowanie agentów SI w ramach Proof of Value przed ich wdrożeniem.

Jak SI w cyberbezpieczeństwie się poprawiło

Podejścia do cyberbezpieczeństwa napędzane SI poczyniły znaczące postępy od czasu ich wprowadzenia. Rozważ następujące kwestie:

Konsensus przy użyciu próbkowania łagodzi niespójność – Niespójności w decyzjach lub wynikach można skutecznie niwelować, wykorzystując wielu agentów SI o różnych konfiguracjach (np. różnych modelach przy różnych temperaturach) do interpretacji danych zebranych przez wcześniejsze operacje agentów.

Użycie próbkowania pozwala organizacjom zrozumieć, w jakich obszarach różne modele SI są zgodne, a w jakich się różnią. W rezultacie opieranie się na informacjach, co do których wszystkie modele są zgodne, i pomijanie informacji, co do których się różnią, może znacząco złagodzić niespójność.

Ważne jest jednak, aby zauważyć, że informacje, co do których agenci próbkujący się nie zgadzają, również są cenne, ponieważ identyfikują one niepewność i potrzebę lepszych danych lub danych wejściowych. Te niespójne informacje mogą pomóc organizacjom ustalić priorytety dostępu do niezbędnych danych w celu poprawy podejmowania decyzji.

Spójne procedury z playbookami dochodzeniowymi – Jednym z głównych powodów, dla których wielokrotne uruchomienia dochodzenia przez SI w SOC dają niespójne wyniki, jest zmienność nie tylko w zebranych danych, ale także w hipotezach tworzonych lub modyfikowanych podczas dochodzenia prowadzonego przez agenta SI. Ustanowienie ogólnego, wysokopoziomowego przewodnika dochodzeniowego w formie standardowej procedury operacyjnej (SOP) dla określonych kategorii pomaga agentom formułować bardziej spójne hipotezy i poprawia ogólną spójność wyników. Nie jest to nowatorskie podejście – większość ludzkich analityków SOC już polega na SOP, aby zapewnić skuteczne i spójne dochodzenia. Agenci SI mogą używać SOP w ten sam sposób.

Śledzalne dowody demistyfikują czarną skrzynkę – Jako najlepszą praktykę, SI SOC powinno być projektowane od podstaw z myślą o dowodach wspierających. Każda decyzja i hipoteza podjęta przez agenta musi być poparta informacjami wspierającymi, w tym śladami rozumowania i surowymi danymi dziennika, które potwierdzają to rozumowanie.

SI do cyberbezpieczeństwa, któremu można zaufać

Agenci SI mogą przyspieszyć wykrywanie, klasyfikację i reagowanie na zagrożenia w cyberbezpieczeństwie, ale wprowadzają również realne ryzyka – w tym niespójne wyniki, nieprzejrzyste decyzje i wrażliwość na jakość danych. Zaufanie do użycia w środowiskach o kluczowym znaczeniu dla misji wymaga rozumowania popartego dowodami, w tym śladami i surowymi artefaktami; ustrukturyzowanych SOP w celu zmniejszenia wariancji; próbkowania wieloagentowego w celu oddzielenia konsensusu od niepewności; oraz zabezpieczeń dotyczących integralności danych, iniekcji promptów oraz limitów kroków i budżetu.

Wszystkie te kluczowe poprawki można rozwiązać za pomocą zaawansowanych podejść z agentami LLM SI zaprojektowanych do radzenia sobie ze złożonością nowoczesnych operacji bezpieczeństwa napędzanych SI. Na przykład, niektóre zaawansowane podejścia LLM wykorzystują zaawansowane próbkowanie wieloagentowe, które pozwala organizacjom wykorzystać zbiorową inteligencję różnych modeli SI współpracujących ze sobą w celu osiągnięcia konsensusu, minimalizacji niespójności i precyzyjnego wskazania obszarów niepewności. Ich ustrukturyzowane i jasne przewodniki dochodzeniowe zapewniają, że kroki analizy są zgodne z najlepszymi praktykami i ustandaryzowanymi procedurami, zapewniając spójność i niezawodność każdej operacji.

Kompletna śledzalność decyzji skutkuje tym, że każdy werdykt, rekomendacja i zautomatyzowana akcja są poddawane audytowi i zrozumiałe, zapewniając pełną przejrzystość zespołom bezpieczeństwa, jednocześnie budując zaufanie interesariuszy. Integrując te kluczowe elementy – i wdrażając solidne kontrole dotyczące jakości danych promptów, bezpieczeństwa i operacyjnych zabezpieczeń – zaawansowane podejścia z agentami LLM SI umożliwiają SOC osiąganie wyników, które są nie tylko niezawodne i przejrzyste, ale także gotowe do produkcji w rzeczywistych środowiskach i dla działań o największym znaczeniu dla misji.

Related Topics:
mm

//simbian.ai/">Simbian, firmy zajmującej się bezpieczeństwem napędzaną sztuczną inteligencją nowej generacji, której misją jest rozwiązywanie problemów bezpieczeństwa za pomocą AI. Ambuj jest uznanym liderem w dziedzinie kryptografii z ponad 30 patentami w tej branży oraz wieloma udanymi startupami. Ambuj był również głównym architektem w Cryptography Research Inc., gdzie kierował i rozwijał wiele technologii bezpieczeństwa firmy, które trafiają co roku do milionów urządzeń. Wcześniej pracował dla NVIDIA, gdzie projektował najbardziej zaawansowane na świecie układy scalone, w tym najszybszy na świecie kontroler pamięci.