Sophos heeft onderzocht hoe de cybersecurity-industrie GPT‑3 – het taalmodel achter het inmiddels bekende ChatGPT-framework – kan inzetten als co-piloot om cybercriminelen te verslaan. Een nieuw rapport met de titel “Applying AI Language Processing to Cyber Defenses” geeft inzicht in de projecten die zijn ontwikkeld door Sophos X‑Ops met behulp van de grote taalmodellen van GPT‑3. Zo wil het bedrijf het zoeken naar verdachte activiteit in datasets van security software makkelijker maken, nauwkeuriger spam filteren en de analyse van aanvallen met ‘living off the land’ binaries (LOLBin) versnellen. Intussen heeft OpenAI ook GPT‑4 gelanceerd.
“Sinds de onthulling van ChatGPT door OpenAI in november is de security-gemeenschap vooral gericht op de potentiële risico’s die deze nieuwe technologie met zich meebrengt. Kan de AI wannabee-aanvallers helpen bij het schrijven van malware of cybercriminelen helpen met het schrijven van overtuigende phishing-e-mails? Misschien wel, maar bij Sophos zien we AI als een bondgenoot in plaats van een vijand. Het is daardoor een technologische hoeksteen voor Sophos, en voor GPT‑3 geldt niets anders. De gemeenschap moet niet alleen aandacht hebben voor eventuele risico’s, maar ook voor de kansen die GPT‑3 met zich meebrengt”, aldus Sean Gallagher, Principal Threat Researcher bij Sophos.
Sophos X‑Ops-onderzoekers, waaronder SophosAI Principal Data Scientist Younghoo Lee, hebben gewerkt aan drie prototypes die het potentieel van GPT‑3 als hulpmiddel voor beveiligingsexperts aantonen. De prototypes gebruiken een techniek met de naam ‘few-shot learning’ om het AI-model te trainen met slechts een paar data samples. Daardoor is er minder behoefte aan het verzamelen van een grote hoeveelheid vooraf geclassificeerde gegevens.
De eerste toepassing die Sophos met deze methode testte was een interface voor zoekopdrachten in gewone taal om verdachte activiteit in telemetrie van beveiligingssoftware te onderzoeken. Met deze interface kunnen verdedigers de telemetrie filteren met Engelse basiscommando’s, zodat ze geen SQL of de structuur van een database hoeven te begrijpen.
Vervolgens testte Sophos een nieuwe spamfilter met behulp van ChatGPT. Het stelde vast dat – in vergelijking met andere machine learning-modellen voor spamfiltering – de filter met GPT‑3 een stuk nauwkeuriger was. Tenslotte maakten Sophos-onderzoekers een programma om het proces voor reverse-engineering van de commandoregels van LOLBins te vereenvoudigen. Zulke reverse-engineering is erg complex, maar ook van groot belang om het gedrag van LOLBins te doorgronden en dit soort aanvallen in de toekomst een halt toe te roepen.
“Eén van de groeiende zorgen binnen beveiligingscentra is de enorme hoeveelheid ‘ruis’ die binnenkomt. Er zijn gewoon teveel meldingen en detecties, en veel bedrijven hebben te maken met beperkte middelen. We hebben bewezen dat we met zoiets als GPT‑3 bepaalde arbeidsintensieve processen kunnen vereenvoudigen en waardevolle tijd kunnen besparen. We werken al aan de integratie van enkele prototypes in onze producten, en we hebben de resultaten van onze inspanningen beschikbaar gesteld op onze GitHub voor degenen die geïnteresseerd zijn in het testen van GPT‑3. Wij geloven dat GPT‑3 in de toekomst een co-piloot kan worden voor beveiligingsexperts,” aldus Gallagher.
