A Sophos divulgou uma investigação sobre como a indústria de cibersegurança pode tirar partido do GPT-3, o modelo de linguagem por detrás do famoso ChatGPT, e fazer dele um “copiloto” para ajudar a derrotar os atacante.
Segundo os especialistas, o modelo de IA com recursos ao ChatGPT é capaz de filtrar mais facilmente atividades maliciosas em telemetria XDR, melhorar filtros de spam e simplificar a análise de binários “living off the land”.
O ChatGPT tem muitas funcionalidades que ainda não são utilizadas
O mais recente relatório da Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, “GPT for You and Me: Applying AI Language Processing to Cyber Defenses“, detalha projetos desenvolvidos pela equipa Sophos X-Ops recorrendo aos amplos modelos de linguagem do GPT-3 (ChatGPT) para simplificar a deteção de atividades maliciosas em conjuntos de dados de software de segurança, filtrar spam com mais precisão e acelerar a análise de ataques de binários “living off the land” (LOLBin).
“Desde que a OpenAI revelou o ChatGPT, em novembro, a comunidade de segurança tem estado sobretudo focada nos potenciais riscos que esta nova tecnologia pode trazer. Será que a Inteligência Artificial pode ajudar os atacantes amadores a escrever malware ou e-mails de phishing muito mais convincentes? Talvez.
Contudo, há muito tempo que a Sophos vê a IA como uma aliada, em vez de uma inimiga, tornando-a uma tecnologia fundamental para nós – e o GPT-3 não é diferente. A comunidade de segurança deve prestar atenção não apenas aos potenciais riscos, mas também às oportunidades que o GPT-3 traz”
Sean Gallagher, Principal Threat Researcher da Sophos
Os investigadores da Sophos X-Ops têm estado a trabalhar em três protótipos que demonstram o potencial do GPT-3 enquanto auxiliar dos profissionais de defesa e cibersegurança.
Os três projetos em torno das capacidades do ChatGPT utilizam a técnica “few-shot learning” para treinar o modelo de IA recorrendo a apenas algumas amostras de dados, reduzindo assim a necessidade de recolher um grande volume de dados pré-classificados.
A primeira aplicação que a Sophos testou com o método “few-shot learning” foi uma interface de consulta de linguagem natural para filtrar atividade maliciosa em telemetria de software de segurança, e testou o modelo especificamente no seu próprio produto de deteção e resposta de endpoints.
Com esta interface, as equipas de defesa são capazes de filtrar a telemetria através de comandos básicos em inglês, eliminando a necessidade de entenderem SQL ou a estrutura subjacente da base de dados.
De seguida, a Sophos testou um novo filtro de spam recorrendo ao ChatGPT e descobriu que era significativamente mais preciso do que outros modelos de machine learning para filtragem de spam.
Os investigadores da Sophos conseguiram ainda criar um programa para simplificar o processo de engenharia reversa das linhas de comando dos LOLBins. A engenharia reversa é notoriamente difícil, mas ao mesmo tempo é também fundamental para compreender o comportamento dos LOLBins e pôr fim a esse tipo de ataques no futuro.
“Uma das preocupações crescentes nos centros de operações de segurança é a quantidade de ‘ruído’ que entra. Há simplesmente demasiadas notificações e deteções que é necessário filtrar, e muitas empresas têm recursos limitados para o fazer. Provámos que algo como o GPT-3 permite simplificar certos processos que necessitam de muita mão de obra e devolver tempo valioso aos defensores.”
“Já estamos a trabalhar na incorporação de alguns dos protótipos mencionados nos nossos produtos e disponibilizámos os resultados dos nossos esforços no nosso GitHub para quem estiver interessado em testar o GPT-3 nos seus próprios ambientes de análise. Acreditamos que o GPT-3 pode muito bem vir a tornar-se num ‘copiloto’ padrão para os especialistas de segurança.”
Sean Gallagher, Principal Threat Researcher da Sophos
