Восстание машин: возможно ли заменить аналитика SOC искусственным интеллектом?

Transcript

1. Восстание машин: возможно ли заменить аналитика SOC искусственным интеллектом? Иванов

   Глеб Аналитик SOC в группе исследований и развития технологий мониторинга

2. POSITIVE HACK DAYS FEST 2024 2 О чем доклад: •

   Какое место занимает ИИ в SOC? • Наш опыт работы с ML • Use-cases с применением ML • Применение LLM в ИБ • Выводы

3. POSITIVE HACK DAYS FEST 2024 3 Аналитик SOC в группе

   исследований и развития технологий мониторинга Иванов Глеб Whoami: www.linkedin.com/in/ivanov-gleb https://t.me/BlureL

4. POSITIVE HACK DAYS FEST 2024 4 Предисловие Из чего состоит

   SOC: SOC Люди Технологии Процессы

5. POSITIVE HACK DAYS FEST 2024 5 В этой гонке за

   безопасностью защитники часто оказываются на шаг назад, поскольку атакующие используют новые методы и инструменты, чтобы обойти защитные механизмы. Бесконечная гонка

6. POSITIVE HACK DAYS FEST 2024 6 Ограничения использования ИИ для

   обнаружения атак Золотое правило: “Данные, с которыми вы собираетесь работать, должны быть примерно такими же, что и данные, на которых вы тренируетесь.” (с)Thomas Dullien Zeronights Moscow, 2017 Атакующие постоянно разрабатывают новые методы, техники, инструменты, а также находят и эксплуатируют новые уязвимости, что затрудняет обучение моделей ИИ на новых данных, так как их постоянно будет не хватать.

7. POSITIVE HACK DAYS FEST 2024 7 Как ИИ может помочь

   в процессах SOC? https://youtu.be/NOS5SrRqtQA?t=2261

8. POSITIVE HACK DAYS FEST 2024 8 Автоаналитик – наш ML,

   который используется для фильтрации ложных срабатываний. Дата-сет для обучения являются обработанные аналитиками алерты. Цели: • Научиться “предсказывать” решение аналитика • Разгрузить работу аналитика операционной линии Что такое автоаналитик (a.k.a. SkyNet)?

9. POSITIVE HACK DAYS FEST 2024 9 Пайплайн Алерты 65% 100%

   Подавление части FP Операционная линия

10. POSITIVE HACK DAYS FEST 2024 10 Процесс принятия решения Для

    каждого правила существует свой набор уникальных полей, на которые опирается автоаналитик при принятии решения.

11. POSITIVE HACK DAYS FEST 2024 11 Не все поля в

    алерте должны иметь одинаковый вес. Не все детектирующие правила должны быть обработаны роботом. Важно заниматься перепроверкой кейсов (дата-сет для ML), обработанных аналитиком. Доверяй, но проверяй за роботом! Не забывать про важность интерпретируемости. 1 2 3 4 5 Важные моменты:

12. POSITIVE HACK DAYS FEST 2024 12 Пример ошибки ML Адрес

    источника Название детектирующего правила на скан портов Имя клиента

13. POSITIVE HACK DAYS FEST 2024 13 ML не только для

    фильтрации При обработке алертов ML также подсказывает, какой из них вероятнее всего является TP:

14. POSITIVE HACK DAYS FEST 2024 14 Где еще у нас

    используется ML Поиск аномалий Всплеск алертов Критический рост/падение потока телеметрии Подозрительная активность (a.k.a. UBA)

15. POSITIVE HACK DAYS FEST 2024 15 Несанкционированное использования УЗ Ищем

    успешные логоны с новый адресов/подсетей:

16. POSITIVE HACK DAYS FEST 2024 16 Сканирование файловых ресурсов Ищем

    аномальную активность для определенного хоста:

17. POSITIVE HACK DAYS FEST 2024 17 Использование чужих билетов Ищем,

    спрятанные в кэше, TGS чужих пользователей:

18. POSITIVE HACK DAYS FEST 2024 18 Автоматическая фильтрация Так как

    SkyNet закрывает только FP-алерты, его можно натренировать, чтобы он делал фильтр под каждое детектирующие правило. Если ML закрыл 20+ одинаковых алертов от одного клиента Если у этих алертов один и тот же паттерн ML делает валидный запрос на фильтрацию данных алертов и отправляет его на проверку аналитику

19. POSITIVE HACK DAYS FEST 2024 19 LLM в массы С

    приходом LLM-моделей в открытый доступ, стали создаваться множество отдельных моделей под определенные задачи: • Pentest • Reverse Engineering • Network Analysis • Incident Response • etc https://huggingface.co/segolilylabs/Lily-Cybersecurity-7B-v0.2 https://github.com/JusticeRage/Gepetto

20. POSITIVE HACK DAYS FEST 2024 20 Примеры использования LLM в

    offensive https://www.whiterabbitneo.com/ https://github.com/berylliumsec/nebula https://flowgpt.com/chat/wormgpt-6

21. POSITIVE HACK DAYS FEST 2024 21 Инцидентыс использованием ИИ https://www.kaspersky.ru/blog/audio-deepfake-technology/

    https://www.microsoft.com/en- us/security/blog/2024/02/14/staying-ahead-of-threat-actors- in-the-age-of-ai/ https://ria.ru/20231215/dvoynik-1916022243.html

22. POSITIVE HACK DAYS FEST 2024 22 Безопасность LLM (LLMSecOps) Темп

    развития ИИ на данный момент намного опережает темпы развития безопасности данных технологий. MITRE и OWASP уже сейчас начали собирать самые опасные и популярные TTPs, которые были замечены в различных атаках. https://www.llmtop10.com/ https://atlas.mitre.org/

23. POSITIVE HACK DAYS FEST 2024 23 Роботы против роботов Множество

    вендоров уже стали внедрять ИИ в свои продукты для выявления разного рода угроз, в том числе угроз от самого ИИ: • Детектирование фишинга • Поиск информации об угрозах (TI) • Вирусный анализ • Оценка уязвимостей

24. POSITIVE HACK DAYS FEST 2024 24 LLM в качестве ассистента

    На данный момент лучшее применение LLM показывает себя именно в качестве ассистентов, чтобы спихнуть на них какую- либо рутину или найти/подсказать какую-либо информацию. Для аналитиков ИБ могут выступать следующие кейсы с использованием языковых моделей: • Вывод дополнительной информации по процессу, Event ID, командной строчки • Заполнение карточки инцидента на основе найденных аналитиком событий • Заполнение базовых рекомендаций

25. POSITIVE HACK DAYS FEST 2024 25 https://youtu.be/fdUnP2DQ-EU https://youtu.be/nBzzSmIuj1M Применение LLM-моделей

26. POSITIVE HACK DAYS FEST 2024 26 Системы ML нужно применять

    для улучшения процессов, а не их замены. Лучшее применение ML – давать необходимый контекст аналитику, но не принимать за него решение. Не везде необходим ML, важно находить ему верное применение. Использование ИИ не заменит людей, но даст большое преимущество перед теми, кто его не использует. 1 2 3 4 Выводы

27. Спасибо! https://t.me/purpleshift