בעולם הסייבר ההגנתי בניית ״סיפור התקיפה״ או כמו שהוא מכונה בקהיליה ״חוט השני״ תמיד היה האירוע המורכב ביותר למגן, בפרט כחלק מבניית מערכות הגנה אשר מסוגלות לבצע את החיבור בצורה אוטומטית או חצי אוטומטית.

לקוחות רבים, צוותי אבטחה ומנהלים מתקשים לבנות ולעקוב אחרי כמות האירועים המשמעותית שספקי ההגנה שלהם אשר מהווים אינדיקציות, במאמר זה נגדירם כ״אינדיקטורים״ לתקיפה, אירועים שהתרחשו לבדם אינם מהווים פרצת אבטחה אך כמקבץ יכולים להתחבר לכדי דפוס זדוני. גם כאשר לצוותים יש פלטפורמה מודרנית וחכמה, הם מתקשים לנתח, להפיק תובנות, לחזות איומים ולקחת משימות להמשך. מה שמוביל את צוותי האבטחה שהשכילו לרכוש מוצר CNAPP מתקדם לקושי להפיק תובנה ולמצוא את חוט השני.

סוף סוף אפשר לכתוב את הסיפור 

לאחר השקת מודלי השפה נפתחה לכולנו אפשרות חדשה לבצע ברירה מתוך כמויות מידע סבירות של אינדיקטורים, לחבר אותם לפי הגיון ״כמעט אנושי״ ולקדם יצירת סיפור שמתקשר עם המציאות, גם אם אינה בעיית אבטחה בצורה מובהקת.

המהפך שהובילו Google, OpenAI ו-Meta אפשר לחברות הסייבר לקבל גישה למודלים ויכולות בינה מלאכותית שלקחו לנו חודשים לפתח. כיום אנו מנצלים יכולות AI לטובת אנליזות מתקדמות אשר מקצרות את זמן הפיתוח במעל 70% כאשר מדובר בקיצור של שמונה חודשי עבודה לכדי חודש ברכיבים מסוימים.

מאיפה מתחילים?

השלב הראשון אצלנו ב-Upwind היה לבצע אנליזות רחבות על המידע הנקי במקביל להקמת שירות ה-baseline, מודל ההתנהגויות של רכיבים בסביבת הענן של הלקוחות תוך מיצוי המידע מה-Sensor של ה-eBPF שלנו, במקביל לפיתוח יכולות זיהוי של התנהגויות חריגות. התהליך המפורט מבצע את החיתוכים הלוגים שמייצרים שני סוגים של אינדיקטורים; הדור הישן - זיהוי בינארי והדור החדש - אירוע תומך. השלב השני הוא  להבין מהי המסקנה שהתקבלה מהממצאים - אנחנו הבנו שהלקוח בקצה מקבל אינדקציות (אינדיקטורים) מעולות אך אינו מסוגל לבנות מסלול תקיפה שלם בגלל התמונה המפורקת של האירועים.

בשלב הבא דיברנו בקבצים של עשרות GBps של מידע אשר נחתכים והופכים למידע סכמתי סביר, שנשמר אל טבלאות מסדי הנתונים. לאחר עבודת מחקר מעמיקה ועבודה עם מס׳ רכיבים שונים מבוססי למידת מכונה, תוכלו לחבר את צינורות המידע שלכם אל מודלי ה-AI וליצור את רכיב ה-Story המיוחל. תהליך חיבור המידע אל ה-AI הוא משמעותי לטובת קבלת תשובות איכותיות. יש במהלך תהליך החיבור לבחור בקפידה את שדות המידע (feature-ים) כך שהיכולת לקבל ״מידע מלוכלך״ יורדת לאין שיעור. החלק החיובי הוא שניתן לבצע את התהליך עם כל מאגר מידע ויכולת עיבוד סבירה, העלות מנגד היא הכירות עם המידע של החברה ומיפוי שלו לfeature-ים ותהליך בחירה של האיכותיים ביניהם.

איך גם אתם יכולים להפחית את ה"רעש" ב-95%:

חשוב להבין - מדובר בטכנולוגיה שמסוגלת לקבל מידע בשפה טבעית ולבצע, להמליץ ולערוך הליכי חיזוי וסיכום ברמה איכותית, בפרט כשמדובר במודלים מאומנים. לכן, ניתן להתיך מידע ממקורות תוך חיבור הקשר רחב שעד היום שחקנים בשוק האבטחה לא ידעו לחבר.

המתכון הוא כזה: לוקחים את המידע האיכותי שמתויג היטב ומחברים בין מאגרי המידע הטבלאיים ממס׳ מקורות המכילים את האינדיקטורונים ולבנות מהם אובייקטים שמתאימים למודל שפה. אנחנו כהמחשה, עשינו זאת באמצעות שירות ה-data engineer שבספק הענן שלנו, כשהמקורות הם RDS, TimescaleDB  ו- Cache. בהמשך צריך לשאול שאלה פשוטה - ״האם יש קשר בין האירועים?״ והתשובות יחשפו את הסיפור הדרמטי שאולי גם יעשו עליו גרסה קולנועית בהמשך. מהתוצאות שמתקבלות, צריך להבין את הקשר בין האירועים - משימה שעד היום אנליסטלא היה מצליח לקשר ביניהם, אך ה-AI שינה את התמונה. פה מגיע החלק של הטכנולוגיה להוכיח את עצמה. הבינה המלאכותית מבצעת העשרה של ה-Context באמצעות agent-ים שמקשרים בינה לבין מאגרי מידע נוספים, תוך שימוש ב-Context Cache, יכולת הקיימת בכל ספקי ה-AI וחשוב לנצל אותה לטובת יצירת הקשרים ודפוסי פעולה צפויים אצל המודל. יודגש כי חלק מספקי הענן מאפשרים שימוש ב-Cache נפרד וחלקם מאפשרים שימוש מצומצם יותר בתור System Prompt טרם הרצת המודל.

לאחר שאימנת את המודל הראשוני ע״י שאלות המחקר של החוקרים, מקורות מודיעין ציבוריים, חומר מקורי שהחברה כתבה ובשילוב ניסיון עשיר בתחומי ההגנה והתקיפה - תקבל מודל אשר מסוגל לזהות מתווה תקיפה ולכתוב לו סיפור במעל 85% בהינתן ויש תקיפה במידע וב-90% לסנן רעש במידה ו״המידע נקי״, כלומר, לא הייתה תקיפה בתוך ה-Data-Set.

טיפים של אלופים: כדי ליצור סיפור אחיד שמאפשר לאנליסטים בחברות הגדולות להתמקד בבעיה מרכזית אחת, ולא ללכת לאיבוד בין אלפי ההתראות במוצרי האבטחה שלהם, תרחיבו את כמויות המידע והמקורות, ותחברו את המידע הרחב מרכיב ה-EBPF, ספקיות הענן ופלטפורמות הפיתוח.

כחלק מתהליכי הלמידה והמחקר הגענו להבנה כי על מנת להגיע לדיוק מרבי של המודלים, עלינו להשתמש במודלי שפה רחבים עם כמות token-ים גדולה שתאפשר לבצע יותר פעולות וליצר הקשר ארוך יותר תוך שימוש בטמפרטורה נמוכה שתנמיך את האפשרות של המודל ליצור הזיות בינה מלאכותית (AI Hallucinations), ובכך הממצאים שמתקבלים אמינים יותר לצד הגדלת כמות המידע הנבחן בו זמנית. בהעמקה נוספת - השתמשנו במס׳ טכניקות של עיבוד מחזורי, כגון עיבוד מידע בחלקים ועיבוד החלקים, שימוש ב-context cache וכו׳.

בנוסף, ייצרנו סכמות מידע שיאפשרו למודלי השפה המתקדמים כגון llama 3.1, gemini 1.5 ו-GPT 4 לבנות תשובות טובות מספיק בכדי להיכנס לסביבות המבצעיות שלנו. אנו רואים עלייה באפקטיביות של האנליסטים ובצמצום ה"רעש" בכ-95% בכמות ההתראות, לצד צמצום ה-False Positive באמצעות שימוש ב-AI. וגם אתם תראו תוצאות.

חשוב לציין כי על מנת למצות את מלוא הפוטנציאל של מודלי השפה יש להקדיש זמן רב לעיצוב תהליך עיבוד המידע, לשאול את השאלות הנכונות, לתייג את המידע ולהכין את התשתית לכדי מצב בו יוכלו הלקוחות להנות מזיהוי איומים איכותי, שמסוגל לייתר את הצורך באינדיקטורים הישנים. אינדיקטורים אלו מהווים מעל 70% מיכולות הזיהוי במוצרי ההגנה ומפחיתים את הצורך במהנדסי הגנה ואנליסטים בכ-30% בצוותים של מעל 3 חברי צוות.

יכולות הבינה המלאכותית שנגלו בשנתיים האחרונות מהוות אבן דרך במסע לפתרון בעיית האבטחה בענן ושינוי המצב בשוק ובאבטחת המידע בפרט. תוך קידום החיבור בין ה-Devops ל-Secops, בפעם הראשונה הצלחנו לייצר ללקוחות שלנו ״סיפור״ מלא בגרסת הבמאי לתהליך התקיפה בהקשר הסביבה שלהם תוך קישור בין מספר סביבות, משתמשים ותהליכים אפליקטיביים המתקיימים בזמן אמת בסביבת הענן שלהם.