AI on pitkään ollut muotisana myös kyberturvallisuudessa. Jo ennen suurien kielimallien yleistymistä AI:n yleisin käyttötapaus kyberturvallisuudessa on ollut pääasiassa poikkeavuuksien havaitseminen lokimassan tai verkkoliikenteen seasta.
Operatiivisessa tietoturvassa, esimerkiksi SOC-toiminnassa, generatiivisen AI:n yleistyminen mahdollistaa sen hyödyntämisen uusissa käyttötapauksissa. Erityisesti yksinkertaisten tekstipohjaisten käyttöliittymien, kuten Chat GPT:n helppokäyttöisyys on pienentänyt kynnystä hyödyntää tekoälyä uusissa sovellutuksissa.
Me CGI SOC:issa olemme tutkineet erilaisia tapoja hyödyntää generatiivista AI:ta apuna tietoturvaoperaatioissa. Tässä kirjoituksessa tutustumme muutamiin esimerkkeihin käyttötapauksista, joiden kautta tekoäly voisi tulevaisuudessa auttaa analysoimaan tietoturvatapahtumia paremmin sekä reagoimaan tietoturvapoikkeamiin tarkemmin.
Kiinnostavan datan tuominen esiin
Eri tahot kyberturvallisuusyhteisössä tuottavat arvokasta tietoa ajankohtaisista ja jo toteutuneista tietoturvauhista uhkaraporttien muodossa. Nämä raportit kuvaavat usein tiettyä tietoturvatapahtumaa, jossa raportin tuottajat ovat havainneet uusia hyökkääjien käyttämiä taktiikoita ja tekniikoita. Raporteissa tarkastellaan myös tiettyjä uhkatoimijoita, heidän motiivejaan ja tyypillisiä toimintatapojaan.
Tutkimme GPT-3.5:n käyttöä näiden raporttien analysoinnissa syöttämällä tekoälylle yli 200 julkisesti saatavilla olevaa raporttia ja esittämällä kysymyksiä, kuten: "Mitkä ovat yleisimmät taktiikat, tekniikat ja menetelmät tietyllä uhkatoimijalla?" tai "Ketkä ovat ne uhkatoimijat, jotka erityisesti suuntautuvat rahalaitoksiin?"
Käyttötapauksen heikkoutena on, että kaikkia lähdetietoja ei voida syöttää generatiiviseen algoritmiin, koska yhden syötteen sisältämän datan määrä on rajoitettu (eng. token limit). Tällaiset toteutukset ovat mahdollisia ainoastaan käyttämällä tietovarastoja, joista tekoäly voi tehdä hakuja, ja vain hakukyselyn tuottama tulos syötetään tekoälyyn jatkoanalysointia varten.
Ihmisanalyytikot voivat tällä hetkellä olla tehokkaampia ilman generatiivisen tekoälyn tuottamaa tekstiä hakujen tekemisessä, koska tietovaraston etsintä ei vaadi täydellisten lauseiden tuottamista, vaan pikemminkin sopivien hakusanojen keksimistä. Analyytikot voivat lisäksi analysoida nopeasti hakutulosten merkityksellisyyttä, mikä lisää lopullisten analyysitulosten tarkkuutta. Generatiivisesta AI:sta vaikuttaa olevan enemmän hyötyä lyhyempien tekstipätkien analysoinnissa ja yhteenvedon tuottamisesta, kuin laajan tekstimassan läpikäynnissä.
Huonosti muotoillun datan analysointi
Huonosti muotoiltu tai ei-ihmisen luettavaksi optimoitu data voidaan syöttää generatiivisiin algoritmeihin tietojen analysoinnin helpottamiseksi.
Testissä syötimme erilaisia Windowsin tapahtumalokeja alkuperäisessä muodossaan GPT-algoritmeihin nähdäksemme, miten tekoäly auttaa käyttäjiä, joilla ei ole syvällistä tietoa tietystä lokitapahtumasta ja sen kontekstista, löytämään tapahtumalokien sisältämät olennaiset tiedot.
Kuten kaikkien generatiivisten tekoälyalgoritmien kohdalla, tämän käyttötapauksen merkittävä haittapuoli on tekoälyn hallusinaatiot eli generatiivisen tekoälyn tuottama teksti, joka ei perustu todellisuuteen.
AI:n tuottaman analyysin laatu on hyvää ainoastaan, jos tekoäly ymmärtää kontekstin riittävän hyvin. Jos lokiviesti ei sisällä tarpeeksi tietoa tapahtumasta tai tekoäly ei ymmärrä kontekstia, tulokset voivat olla epätarkkoja ja johtaa ihmisiä harhaan datan ymmärtämisessä.
Vakiotekstin tuottaminen
Tietoturvaoperaatioissa käytetään usein pelikirjoja, joilla dokumentoidaan sovitut ja hyväksi havaitut menettelyt tietoturvatapahtumien analysointiin ja tiettyjen reagointitoimenpiteiden suorittamiseen tietoturvapoikkeamien sattuessa. Näitä pelikirjoja laaditaan joskus erittäin yksityiskohtaisesti, mikä tekee niiden laatimisesta ja päivittämisestä erittäin aikaa vievän tehtävän.
Yhdistämällä tekoälyn pelikirjapohjiin ja muuhun dokumentaatioon tekoäly voi tuottaa dokumentaatiota ja pelikirjoja ennalta määritetyn mallin perusteella. Lisäksi tekoäly voi käsitellä monimutkaisia tunnistuskyselyitä tai automaatioskriptejä, ja kuvata niiden toiminnallisuuden ja logiikan ihmisen luettavassa muodossa. Tällä tavoin SOC-analyytikot ja operaattorit, jotka eivät osaa tulkita koodia itai joilla ei ole syvää ymmärrystä esimerkiksi tietyssä teknologiassa käytettävistä havaitsemislogiikoista tai automaatioista, voivat hyödyntää näitä tietoja tehokkaammin.
Tässäkin konteksti ja tekoälylle annetut syötteet (eng. prompts) ovat avainasemassa riittävän hyvien tulosten saamiseksi, jotta ihmisasiantuntijat voivat ottaa haltuunsa ja jatkaa tekoälyn luoman sisällön virittämistä ja korjaamista sekä ihmisen älykkyyden syöttämistä dokumentaatioon.
Me CGI SOC:ssa haluamme olla eturintamassa hyödyntämässä uutta teknologiaa asiakkaidemme kyberturvallisuustoimintojen tehostamisessa. Generatiivinen tekoäly ei tuo sellaisenaan lisäarvoa, vaan sen hyödyntäminen tehokkaasti, vastuullisesti ja luotettavasti ihmisälyn tukena on painopisteemme tulevina vuosina. Tekoälyn tehokas hyödyntäminen vaatii käytännön testausta ja toteutusta todellisessa SOC-toiminnassa.
Kirjoittajasta
CGI Suomen asiantuntijat
Kirjoituksia asiantuntijoiltamme
CGI on kansainvälisesti suomalainen digitalisaatiokumppani. Suomessa noin 3 800 asiantuntijaa konsultoivat asiakkaitamme liiketoiminnan ja ICT-ratkaisujen kehittämisessä. Tällä profiililla julkaisemme kirjoituksia CGI:n eri asiantuntijoilta.
