Le modèle d’IA peut plus facilement filtrer les activités malveillantes dans la télémétrie XDR, améliorer l’efficacité des filtres antispam et simplifier l’analyse des binaires LotL
Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie une nouvelle étude indiquant comment le secteur de la cybersécurité peut exploiter GPT-3, le modèle linguistique sur lequel repose l’intelligence artificielle ChatGPT, comme copilote pour contribuer à déjouer les cyberattaques. L’étude, intitulée Applying AI Language Processing to Cyber Defenses, détaille les projets développés par Sophos X-Ops au moyen des vastes modèles linguistiques de GPT-3 afin de simplifier la recherche des activités malveillantes dans les ensembles de données des logiciels de sécurité, de filtrer plus efficacement les spams et d’accélérer l’analyse des attaques par binaires LotL (Living off the Land).
« Depuis qu’OpenAI a dévoilé ChatGPT en novembre dernier, la communauté de la sécurité s’est largement focalisée sur les risques que pourrait susciter cette nouvelle technologie. L’IA peut-elle aider les cyberattaquants en puissance à créer des malwares ou les cyberescrocs à rédiger des e-mails de phishing bien plus crédibles ? Peut-être bien, mais, chez Sophos, nous voyons depuis longtemps dans l’IA un allié plutôt qu’un ennemi des équipes de cyberdéfense, faisant de celle-ci la clé de voûte de nos technologies, et GPT-3 n’y fait pas exception. La communauté de la sécurité doit être attentive non seulement aux risques éventuels, mais aussi aux opportunités potentielles qu’offre GPT-3 », souligne Sean Gallagher, chercheur principal en menaces chez Sophos.
Les chercheurs de Sophos X-Ops, parmi lesquels le Principal Data Scientist Younghoo Lee de SophosAI, travaillent actuellement sur trois prototypes visant à démontrer le potentiel de GPT-3 en tant qu’assistant des équipes de cyberdéfense. Tous trois s’appuient sur une technique appelée few-shot learning (FSL) pour entraîner le modèle d’IA avec un nombre restreint d’échantillons, réduisant ainsi le besoin de collecter un volume important de données préclassifiées.
La première application testée par Sophos avec la méthode FSL porte sur une interface d’interrogation en langage naturel destinée à filtrer les activités malveillantes dans la télémétrie des logiciels de sécurité, plus précisément par rapport à son produit EDR (Endpoint Detection & Response). Cette interface permet aux équipes de cyberdéfense d’explorer les données télémétriques à l’aide de commandes élémentaires en anglais courant, ce qui leur évite d’avoir à maîtriser le langage SQL ou la structure sous-jacente d’une base de données.
Ensuite, Sophos a testé un nouveau filtre antispam faisant appel à ChatGPT et constaté que, comparé à d’autres modèles de Machine Learning employés à cette fin, le filtre utilisant GPT-3 s’est avéré nettement plus fiable. Enfin, les chercheurs de Sophos sont parvenus à créer un programme qui simplifie le processus de rétro-ingénierie des lignes de commande des binaires LotL. Si cette rétro-ingénierie n’est pas notoirement difficile, elle n’en est pas moins critique pour comprendre le comportement de ces binaires et mettre un terme à ces types d’attaques à l’avenir.
« L’un des soucis grandissants au sein des centres de sécurité opérationnelle tient au volume même du “bruit” à l’entrée. Il y a simplement trop de notifications et de détections à trier, alors que de nombreuses entreprises ne disposent que de ressources limitées. Nous avons fait la preuve que, avec un outil tel que GPT-3, nous pouvons simplifier certains processus nécessitant énormément de main-d’œuvre et libérer un temps précieux pour les équipes de cyberdéfense. Nous travaillons déjà sur l’intégration de certains des prototypes ci-dessus dans nos produits et nous avons mis les résultats de nos travaux sur notre référentiel GitHub, à la disposition des personnes intéressées pour tester GPT-3 dans leur propre environnement d’analyse. À l’avenir, nous pensons que GPT-3 pourrait très bien s’affirmer comme un copilote courant des experts en sécurité », conclut Sean Gallagher.