Um estudo realizado pela Sophos revelou como a indústria de cibersegurança pode alavancar o GPT-3, sistema de linguagem por trás da ferramenta ChatGPT, que tem se tornado cada dia mais popular, e utilizá-lo como aliado para derrotar cibercriminosos. No relatório "GPT for You and Me: Applying AI Language Processing to Cyber Defenses", a Sophos detalha alguns projetos desenvolvidos pela Sophos X-Ops, em que utiliza os modelos de linguagem de alta capacidade do GPT-3 para simplificar a pesquisa de atividades maliciosas em bancos de dados de softwares de segurança, filtrar mais precisamente o spam e acelerar a identificação de ataques como o LOLBin.
De acordo com o principal investigador de ameaças da Sophos, Sean Gallagher, desde que o OpenAI revelou o ChatGPT em novembro, a comunidade de segurança tem se dedicado aos potenciais riscos que a nova tecnologia pode trazer. O executivo analisa que a Inteligência Artificial (IA) poderá contribuir para que os aspirantes a atacantes desenvolvam um malware ou até apoiar cibercriminosos a escreverem e-mails de phishing muito mais convincentes. No entanto, na Sophos, a IA é vista muito mais como uma aliada do que uma inimiga dos defensores e, inclusive, ferramentas de IA se tornaram uma tecnologia de base para a empresa. Com o GPT-3 não seria diferente e Gallagher avalia que a comunidade de segurança deveria estar atenta não só aos riscos potenciais, mas às oportunidades que o GPT-3 traz.
Os pesquisadores da Sophos X-Ops, incluindo o principal cientista de IA, Younghoo Lee, têm trabalhado em três modelos que demonstram o potencial do GPT-3 como assistente dos defensores da cibersegurança. Os três utilizam uma técnica chamada "few-shot learning", ou "aprendizagem com poucos disparos", para treinar o modelo de IA com apenas algumas amostras de dados, reduzindo a necessidade de coletar um grande volume de dados.
A primeira aplicação que a Sophos testou com esse método de aprendizagem foi uma interface de consulta de linguagem natural, utilizada para o rastreio de atividades maliciosas na telemetria de softwares de segurança. Na ocasião, a empresa testou o modelo contra o seu próprio produto de detecção e resposta de endpoint, o XDR. Com essa interface, os defensores foram capazes de filtrar por meio da telemetria, com comandos básicos em inglês, eliminando a necessidade dos defensores compreenderem Structured Query Language (SQL) – linguagem padrão para trabalhar com bancos de dados relacionais – ou a estrutura oculta de uma base de dados.
Em seguida, a Sophos testou um novo filtro de spam usando o ChatGPT e descobriu que, quando comparado a outros modelos de machine learning para filtragem de spam, o filtro que usava o GPT-3 era significativamente mais preciso. Por fim, os cientistas da empresa conseguiram criar um programa para simplificar o processo de engenharia inversa das linhas de comando da LOLBins. Tal engenharia é notavelmente difícil, mas também crucial para a compreensão do comportamento do LOLBin e para impedir esses tipos de ataques no futuro.
Uma das preocupações crescentes dentro dos centros de operações de segurança é a enorme quantidade de "ruídos" que entram. Há muitas notificações e detecções para analisar e muitas empresas lidam com recursos limitados. Gallagher reforça que a Sophos provou que, com uma tecnologia como o GPT-3, é possível simplificar certos processos de trabalho intensivo e devolver um tempo valioso aos defensores.
