Si l'on mentionne le terme "cyberthreat intelligence" (CTI) aux équipes de cybersécurité des moyennes et grandes entreprises, la réponse est souvent la suivante : "nous commençons à étudier l'opportunité". Ce sont ces mêmes entreprises qui peuvent souffrir d'un manque de professionnels expérimentés et de qualité dans le domaine de la cybersécurité.
Lors de la conférence Black Hat de cette semaine, deux membres de l'équipe Google Cloud ont expliqué comment les capacités des grands modèles de langage (LLM), tels que GPT-4 et PalM, peuvent jouer un rôle dans la cybersécurité, en particulier dans le domaine de la CTI, ce qui pourrait permettre de résoudre certains problèmes de ressources. Pour de nombreuses équipes de cybersécurité qui en sont encore à la phase d'exploration de la mise en œuvre d'un programme de renseignement sur les menaces, il peut sembler qu'il s'agit là d'un concept d'avenir ; dans le même temps, il peut également résoudre une partie du problème des ressources.
En rapport : A first look at threat intelligence and threat hunting tools
Les éléments essentiels de la veille sur les menaces
Pour réussir, un programme de renseignement sur les menaces doit comporter trois éléments essentiels : la visibilité des menaces, la capacité de traitement et la capacité d'interprétation. L'impact potentiel de l'utilisation d'un LLM est qu'il peut considérablement aider au traitement et à l'interprétation, par exemple, il pourrait permettre d'analyser des données supplémentaires, telles que des données de journal, qui, en raison de leur volume, pourraient être négligées. La possibilité d'automatiser les résultats pour répondre aux questions de l'entreprise enlève une tâche importante à l'équipe de cybersécurité.
La présentation a soulevé l'idée que la technologie LLM n'est peut-être pas adaptée à tous les cas et a suggéré qu'elle se concentre sur les tâches qui requièrent moins de réflexion critique et qui impliquent de grands volumes de données, laissant les tâches qui requièrent plus de réflexion critique entre les mains d'experts humains. Un exemple a été donné lorsque des documents doivent être traduits à des fins d'attribution, un point important car une erreur d'attribution peut entraîner des problèmes considérables pour l'entreprise.
Comme pour les autres tâches dont les équipes de cybersécurité sont responsables, l'automatisation devrait être utilisée, pour l'instant, pour les tâches les moins prioritaires et les moins critiques. Il ne s'agit pas d'une réflexion sur la technologie sous-jacente, mais plutôt d'une déclaration sur l'état d'avancement de la technologie LLM. Il ressort clairement de la présentation que la technologie a sa place dans le flux de travail CTI, mais qu'à l'heure actuelle, on ne peut pas lui faire entièrement confiance pour renvoyer des résultats corrects et que, dans des circonstances plus critiques, une réponse fausse ou imprécise pourrait causer un problème important. Cela semble être un consensus dans l'utilisation du LLM en général ; il y a de nombreux exemples où le résultat généré est quelque peu douteux. Un présentateur de la conférence Black Hat a parfaitement résumé la situation en décrivant l'IA, dans sa forme actuelle, comme "un adolescent, qui invente des choses, ment et fait des erreurs".
Voir aussi : Will ChatGPT start writing killer malware?
L'avenir ?
Je suis certain que dans quelques années, nous confierons des tâches à l'IA qui automatisera une partie de la prise de décision, par exemple la modification des règles de pare-feu, la priorisation et la correction des vulnérabilités, l'automatisation de la désactivation des systèmes en raison d'une menace, et ainsi de suite. Pour l'instant, cependant, nous devons nous appuyer sur l'expertise des humains pour prendre ces décisions, et il est impératif que les équipes ne se précipitent pas pour mettre en œuvre une technologie qui n'en est qu'à ses débuts dans des rôles aussi critiques que la prise de décision en matière de cybersécurité.