Generatived (Beta) | Cung cấp tin tức và xu hướng mới nhất về AI sáng tạo

Các nhóm bảo mật phải đối mặt với thách thức đáng kể trong việc chuyển đổi dữ liệu mối đe dọa phi cấu trúc thành các chiến lược phòng thủ khả thi. Các bước ban đầu như trích xuất các chiến thuật, kỹ thuật và quy trình (TTP) từ các tài liệu phức tạp và ánh xạ chúng vào một hệ thống phân loại chuẩn đặc biệt tốn thời gian. Để giải quyết vấn đề này, một quy trình làm việc hỗ trợ bởi trí tuệ nhân tạo (AI) đã được phát triển để tăng tốc quá trình kỹ thuật phát hiện. Quy trình này tạo ra một phân tích có cấu trúc từ nhiều tài liệu bảo mật khác nhau, xác định các TTP tiềm năng, đối chiếu chúng với khung MITRE ATT&CK và cuối cùng thực hiện phân tích khoảng trống so với các danh mục phát hiện hiện có.

Quy trình làm việc AI bắt đầu bằng việc tiếp nhận các hiện vật bảo mật như báo cáo của nhóm tấn công (red team) và hồ sơ tác nhân đe dọa, sau đó phân tách chúng thành các phân đoạn có thể đọc được bằng máy trong khi vẫn giữ nguyên cấu trúc ban đầu để làm ngữ cảnh. Tiếp theo, nó sử dụng các mô hình ngôn ngữ quy mô lớn (LLM) để trích xuất các TTP và siêu dữ liệu liên quan, sau đó ánh xạ chúng vào khung MITRE ATT&CK. Quá trình ánh xạ này được thiết kế để chuẩn hóa sự hiểu biết về các mẫu tấn công và các lỗ hổng tiềm tàng.

Một yếu tố quan trọng của quy trình làm việc là so sánh các TTP được trích xuất với danh mục phát hiện hiện có để xác định các hành vi mục tiêu và các khoảng trống tiềm tàng. Quy trình này bao gồm tìm kiếm sự tương đồng về vector và xác thực dựa trên LLM để đảm bảo kết quả chính xác. Kết quả cuối cùng cung cấp cho các chuyên gia bảo mật những cơ hội phát hiện được ưu tiên, nhưng khuyến cáo rằng những phát hiện này cần được xác nhận thông qua xác thực thực nghiệm trong các môi trường cụ thể.

Mặc dù AI cải thiện hiệu quả, nhưng chuyên môn của con người vẫn rất cần thiết cho việc xác thực cuối cùng. Quy trình này giảm thời gian cần thiết cho phân tích ban đầu, cho phép các chuyên gia tập trung vào việc xác thực các phát hiện và tinh chỉnh các phát hiện. Nghiên cứu này, được thực hiện với sự hợp tác của Microsoft Defender Security Research và Fatih Bulut, nhấn mạnh tầm quan trọng của việc xác thực có sự tham gia của con người và đưa ra lời khuyên thiết thực về việc sử dụng AI trong phân tích bảo mật, bao gồm lập kế hoạch ứng phó với sự khác biệt và tối ưu hóa ngữ cảnh nhắc nhở. Phương pháp dựa trên AI đã được chứng minh là tạo ra kết quả tương đương với các chuyên gia bảo mật, cho thấy nó có thể cải thiện đáng kể hiệu quả của phân tích phạm vi phát hiện.