Un reciente estudio conducido por SophosAI ha puesto de manifiesto el potencial de los modelos de lenguaje grande (LLM) para potenciar la productividad en los centros de operaciones de seguridad (SOC). Utilizando plataformas avanzadas como Amazon Bedrock y Amazon SageMaker, la investigación se ha centrado en implementar mejoras en áreas críticas como la conversión de lenguaje natural a SQL, la predicción de la severidad de incidentes y la síntesis de incidentes de seguridad.
El modelo LLM analizado en el estudio, Claude 3 Sonnet de Anthropic, mostró resultados prometedores. En la tarea de conversión de comandos de lenguaje natural a consultas SQL, los analistas de SophosAI descubrieron que Claude logró una notable precisión del 88%. Esta precisión sugiere que los LLM pueden ser valiosos asistentes en la extracción de información clave durante el análisis de amenazas.
La evaluación de la capacidad de los LLM para clasificar la severidad de eventos de seguridad reveló resultados mixtos. Aunque las capacidades de los modelos para identificar patrones sospechosos están comprobadas, el estudio señala limitaciones cuando se trata de evaluar la criticidad de los incidentes. Esto se debe, principalmente, a la falta de entrenamiento específico en datos de ciberseguridad, alcanzando una precisión del 71%.
En el ámbito de la síntesis de incidentes de seguridad, el desempeño de Claude fue considerado adecuado, aunque el estudio recomienda refinar estos modelos. La mejora podría implicar un afinamiento para prevenir la omisión de detalles críticos durante el proceso de resumen.
SophosAI advierte sobre la necesidad de ajustes finos y la implementación de barreras de seguridad para evitar mal usos de los LLM en ciberseguridad. Un modelo especializado, capacitado específicamente en datos de ciberseguridad, podría optimizar la evaluación precisa de incidentes, sugieren los investigadores.
El uso de Amazon Bedrock permitió a los investigadores de SophosAI evaluar diversos LLM con eficiencia y a bajo costo, sin necesidad de un despliegue local. Por su parte, Amazon SageMaker proporcionó la flexibilidad necesaria para el despliegue de modelos personalizados, optimizando costes mediante puntos finales asincrónicos.
Este hallazgo revela el potencial de los LLM para transformar la eficiencia del análisis de amenazas en aplicaciones de ciberseguridad. No obstante, subraya la importancia de implementar estos modelos cuidadosamente, con el entrenamiento especializado necesario para maximizar su efectividad. SophosAI continúa su compromiso en la evaluación y ajuste de estos modelos para garantizar su rendimiento óptimo en el sector.
