Wouter Hoeffnagel - 21 maart 2023

Generatieve AI kan bondgenoot zijn van IT-beveiligers

Generatieve AI kan bondgenoot zijn van IT-beveiligers image

Sinds de opkomst van GPT-3 en het bekende ChatGPT-raamwerk verschijnen er waarschuwingen over de inzet van generatieve AI door cybercriminelen, onder meer voor het schrijven van malware en phishingmails. Ook de cybersecurity-industrie kan echter profiteren van GPT-3, het taalmodel achter het inmiddels bekende ChatGPT-framework. Zo kunnen IT-beveiligers GPT-3 inzetten als co-piloot voor het verslaan van cybercriminelen.

Dit meldt Sophos in een nieuw rapport, dat inzicht geeft in de projecten die zijn ontwikkeld door Sophos X-Ops met behulp van de grote taalmodellen van GPT-3. Zo wil het bedrijf het zoeken naar verdachte activiteit in datasets van security software makkelijker maken, nauwkeuriger spam filteren en de analyse van aanvallen met ‘living off the land’ binaries (LOLBin) versnellen. Intussen heeft OpenAI ook GPT-4 gelanceerd.

AI als bondgenoot in plaats van vijand

“Sinds de onthulling van ChatGPT door OpenAI in november heeft de security-gemeenschap zich veel gericht op de potentiële risico's die deze nieuwe technologie met zich meebrengt. Kan deze AI wannabee-aanvallers helpen bij het schrijven van malware of cybercriminelen helpen met het schrijven van overtuigende phishing-e-mails? Misschien wel, maar bij Sophos zien we AI als een bondgenoot in plaats van een vijand. Het is daardoor een technologische hoeksteen voor Sophos, en voor GPT-3 geldt niets anders. De gemeenschap moet niet alleen aandacht hebben voor eventuele risico's, maar ook voor de kansen die GPT-3 met zich meebrengt”, aldus Sean Gallagher, Principal Threat Researcher bij Sophos.

Sophos X-Ops-onderzoekers, waaronder SophosAI Principal Data Scientist Younghoo Lee, werkten aan drie prototypes die het potentieel van GPT-3 als hulpmiddel voor beveiligingsexperts aantonen. De prototypes gebruiken een techniek met de naam ‘few-shot learning’ om het AI-model te trainen met slechts een paar data samples. Daardoor is er minder behoefte aan het verzamelen van een grote hoeveelheid vooraf geclassificeerde gegevens.

De eerste toepassing die Sophos met deze methode testte was een interface voor zoekopdrachten in gewone taal om verdachte activiteit in telemetrie van beveiligingssoftware te onderzoeken. Met deze interface kunnen verdedigers de telemetrie filteren met Engelse basiscommando's, zodat ze geen SQL of de structuur van een database hoeven te begrijpen.

Nieuwe spamfilter en reserve-engineering van LOLBins

Ook testte Sophos een nieuwe spamfilter met behulp van ChatGPT. Het stelde vast dat - in vergelijking met andere machine learning-modellen voor spamfiltering - de filter met GPT-3 een stuk nauwkeuriger was. Tenslotte maakten Sophos-onderzoekers een programma om het proces voor reverse-engineering van de commandoregels van LOLBins te vereenvoudigen. Zulke reverse-engineering is erg complex, maar ook van groot belang om het gedrag van LOLBins te doorgronden en dit soort aanvallen in de toekomst een halt toe te roepen.

“Eén van de groeiende zorgen binnen beveiligingscentra is de enorme hoeveelheid ‘ruis’ die binnenkomt. Er zijn gewoon teveel meldingen en detecties, en veel bedrijven hebben te maken met beperkte middelen. We hebben bewezen dat we met GPT-3 bepaalde arbeidsintensieve processen kunnen vereenvoudigen en waardevolle tijd kunnen besparen. We werken al aan de integratie van enkele prototypes in onze producten, en we hebben de resultaten van onze inspanningen beschikbaar gesteld op onze GitHub voor degenen die geïnteresseerd zijn in het testen van GPT-3. Wij geloven dat GPT-3 in de toekomst een co-piloot kan worden voor beveiligingsexperts,” aldus Gallagher.