Selon un rapport récent, l'utilisation de modèles d'IA tels que GPT-3 ou GPT-4 pourrait aider à filtrer plus facilement les activités malveillantes dans les données télémétriques XDR, améliorer l'efficacité des filtres anti-spam et simplifier l'analyse des attaques par binaires LotL.
Une étude, commissionnée par Sophos, examine comment le secteur de la cybersécurité peut utiliser ces modèles linguistiques en tant qu'assistant pour aider à contrer les cyberattaques.
L'étude, intitulée "Applying AI Language Processing to Cyber Defenses", décrit les projets du département X-Ops de Sophos, qui utilise les vastes modèles linguistiques de GPT-3 pour faciliter la recherche d'activités malveillantes dans les ensembles de données de sécurité, améliorer la filtration des pourriels et accélérer l'analyse des attaques par binaires LotL.
Les chercheurs de Sophos, dont le principal data scientist Younghoo Lee de SophosAI, travaillent actuellement sur trois prototypes qui montrent le potentiel de GPT-3 en tant qu'assistant des équipes de cyberdéfense. Tous les prototypes s'appuient sur une technique appelée few-shot learning (FSL), qui permet de former le modèle d'IA avec un nombre limité d'échantillons, réduisant ainsi le besoin de collecter un grand volume de données préclassifiées.
Le premier prototype utilise l'interface d'interrogation en langage naturel pour filtrer les activités malveillantes dans les données télémétriques des logiciels de sécurité, en particulier pour le produit EDR (Endpoint Detection & Response). Cette interface permet aux équipes de cyberdéfense d'explorer les données télémétriques à l'aide de commandes élémentaires en anglais courant, évitant ainsi la nécessité de maîtriser le langage SQL ou la structure sous-jacente d'une base de données.
Le deuxième prototype concerne un nouveau filtre anti-spam utilisant ChatGPT. Ce filtre s'est avéré beaucoup plus fiable que d'autres modèles de machine learning utilisés à cette fin.
Enfin, le troisième prototype est un programme qui simplifie le processus de rétro-ingénierie des lignes de commande des binaires LotL. Cela est critique pour comprendre le comportement de ces binaires et mettre un terme à ces types d'attaques à l'avenir.