Nouvelle actuelle: Optimiser les équipes rouges et bleues avec les LLM

Optimiser les équipes rouges et bleues avec les LLM

Publié il y a 1 an

Nouvelles

 Suivez-nous sur 

Les spécialistes de la cybersécurité incorporent des outils à la ChatGPT dans leur routine, les utilisant pour des fonctions allant de l’exploration de code à la détection de failles. Ces équipes, tant offensives que défensives, en bénéficient.

Evan Pena, responsable des services professionnels chez Google Cloud et chef de la red team de Mandiant pendant plus de cinq ans, fait régulièrement appel aux grands modèles linguistiques (LLM) « pour valider des réponses ou chercher d’autres perspectives sur comment enquêter sur une faille ». Ces outils basés sur le traitement du langage naturel (NLP), utilisant des réseaux de neurones, peuvent produire du texte ou du code presque à l’identique des humains et sont également capables d’identifier des motifs. Maximiser leur potentiel fait partie de la mission d’Evan Pena. Selon ce spécialiste, utiliser les grands modèles linguistiques facilite souvent l’achèvement rapide des missions, un élément vital en cybersécurité où le volume de travail est généralement élevé et où le manque de talents spécialisés est un souci constant.

Pour une mission, Evan Pena et son équipe ont nécessité un outil C# pour vérifier une paire connue d’identifiants sur plusieurs hôtes dans un réseau.

« Comme c’était une red team, nous voulions éviter d’utiliser des outils open source pour cette mission afin d’échapper aux signaux statiques et à la détection par les EDR », dit-il. « Nous avons réussi à concevoir cet outil et à le valider entièrement dans un milieu test avant de le déployer dans un milieu opérationnel en seulement quelques heures. »

Cet outil leur a permis de détecter un accès d’administrateur local à un système et de réaliser des mouvements latéraux dans le milieu. Les équipes rouges et bleues peuvent employer les LLM pour bien d’autres missions. La société de sécurité offensive Bishop Fox explore comment ces modèles peuvent enrichir les campagnes d’ingénierie sociale. De son côté, le fournisseur de solutions de sécurité Check Point Software utilise l’IA pour optimiser la détection de malwares et de failles, tandis que Cossack Labs s’en sert pour recruter des spécialistes de la sécurité pour son département de protection des données.

Renforcer les équipes rouges et bleues avec les LLM

Les équipes offensives et défensives qui cherchent à incorporer de grands modèles de langage dans leur routine doivent le faire de manière organisée. Elles doivent segmenter les étapes/processus et ensuite, évaluer chaque étape pour déterminer si le LLM peut être utile à une étape en particulier ou non, explique Sergey Shykevich. Cette démarche n’est pas triviale et demande aux spécialistes de la sécurité de changer de perspective. C’est un « changement de mentalité », selon Brandon Kovacs. Laisser un système s’occuper de missions de cybersécurité généralement gérées par des êtres humains peut s’avérer être un challenge si les risques associés à la technologie ne sont pas minutieusement analysés.

Fort heureusement, les obstacles à la formation et à l’exécution de ses propres modèles d’IA se sont amoindris ces derniers temps, en partie grâce à la popularité des communautés d’IA en ligne comme HuggingFace, qui permettent à quiconque d’accéder et de télécharger des modèles open source avec un kit de développement. « Par exemple, nous pouvons aisément télécharger et lancer les modèles Open Pre-trained Transformer Language Models (OPT) sur notre propre infrastructure, offrant ainsi des réponses similaires à GPT, en juste quelques lignes de code, sans les limites et restrictions habituellement imposées par ChatGPT », précise Brandon Kovacs. Les équipes rouges et bleues désirant utiliser de grands modèles linguistiques doivent être conscients des implications éthiques potentielles de cette technologie, comme la protection de la vie privée, la confidentialité des données, les biais, et le manque de transparence. « La prise de décision basée sur l’IA peut être assez opaque », conclut Brandon Kovacs.

La dimension humaine enrichie par l’IA

Quand elles utilisent les LLM, les équipes offensives et défensives doivent toujours se rappeler que « la technologie n’est pas infaillible », affirme Brandon Kovacs. « L’IA et les LLM sont encore en développement. Que ce soit pour renforcer la sécurité des systèmes d’IA ou pour aborder les défis éthiques et de protection de la vie privée posés par cette technologie, il reste beaucoup à accomplir. » Brandon Kovacs et la plupart des chercheurs voient les LLM comme un outil pour compléter et assister les équipes offensives et défensives, et non pour les remplacer complètement, car même si ces modèles sont doués pour traiter les données et élaborer des concepts, ils manquent d’intuition et de contexte humains. « Les LLM sont encore loin de pouvoir supplanter les chercheurs ou prendre des décisions liées à la cybersécurité ou aux opérations critiques sans la supervision d’un être humain », explique-t-il. « Mais ils peuvent assurément être utilisés comme un renfort précieux. »

En conclusion, tout en ayant un potentiel immense, les grands modèles linguistiques doivent être utilisés avec discernement dans le domaine de la cybersécurité. La combinaison de l’intuition humaine et de la puissance des modèles d’IA peut conduire à des solutions innovantes pour protéger et défendre les systèmes et les réseaux. Mais il est crucial de comprendre leurs limites et de s’assurer que les décisions critiques sont toujours prises avec un jugement humain approprié.