L'étude examine comment l'IA peut faciliter les charges de travail pour les équipes de cybersécurité de première ligne
CSIRO, l'Agence nationale des sciences de l'Australie, a analysé les données d'un essai de 10 mois mené par la société mondiale de cybersécurité Esesentire explorant comment les modèles de langage (LLM) comme ChatGPT-4 peuvent soutenir les analystes de cybersécurité pour détecter et arrêter les menaces tout en réduisant la fatigue. Les résultats de préparation sont disponibles sur le serveur Arxiv.
Les données anonymisées ont été collectées dans les centres d'opérations de sécurité (SOC) d'Esentire en Irlande et au Canada, où les analystes identifient, enquêtent et répondent aux cyberattaques.
Au cours de l'essai, 45 analystes de la cybersécurité ont posé le Chatgpt-4 plus de 3 000 questions, principalement pour les tâches de routine et à faible risque telles que l'interprétation des données techniques, l'édition de texte et l'analyse du code de logiciels malveillants.
Le Dr Mohan Baruwal Chhetri, chercheur principal chez CSIRO Data61, a déclaré que l'étude montre que l'IA peut être intégrée à de véritables flux de travail pour soutenir, et non remplacer, l'expertise humaine.
« ChatGPT-4 a soutenu les analystes avec des tâches telles que l'interprétation des alertes, le polissage des rapports ou l'analyse du code, tout en laissant des appels à l'expert humain », a déclaré le Dr Baruwal Chhetri.
« Cette approche collaborative s'adapte aux besoins de l'utilisateur, renforce la confiance et libère du temps pour les tâches de plus grande valeur. »
L'étude a été menée dans le cadre du programme de renseignement collaboratif de CSIRO (CINTEL), qui explore comment la collaboration humaine-AI peut améliorer les performances et le bien-être entre les domaines, y compris la cybersécurité, où la fatigue de l'analyste est un défi croissant.
Les équipes SOC sont confrontées à des volumes croissants d'alertes, dont beaucoup de faux positifs, conduisant à des menaces manquées, à une réduction de la productivité et à un épuisement potentiel.
Le Dr Baruwal Chhetri a déclaré que la collaboration humaine-AI pourrait également bénéficier à d'autres environnements à haute pression, tels que les interventions d'urgence et les soins de santé.
Le Dr Martin Lochner, scientifique des données et coordinateur de la recherche, a expliqué que l'essai est la première étude industrielle à long terme à montrer comment les LLM peuvent être utilisées dans les opérations de cybersécurité réelles, aidant à façonner la prochaine génération d'outils d'IA pour les équipes SOC.
« Cette collaboration a combiné de manière unique la rigueur académique avec la réalité de l'industrie, produisant des idées que ni les études de laboratoire pures ni l'analyse réservée à l'industrie ne pouvaient réaliser », a déclaré M. Locher.
« Par exemple, nous avons constaté que seulement 4% des demandes d'analystes à ChatGPT-4 demandaient une réponse directe, comme » est-ce malveillant? » Au lieu de cela, les analystes ont préféré recevoir des preuves et un contexte pour étayer leur propre prise de décision.
« Cela met en évidence la valeur des LLM en tant qu'outils de support de décision qui améliorent l'autonomie des analystes plutôt que de le remplacer. »
S'appuyant sur l'étude de 10 mois, la prochaine phase de recherche sera une enquête à plus long terme utilisant un ensemble de données de deux ans pour examiner comment l'utilisation des analystes de ChatGPT-4 évolue au fil du temps.
Cette phase intègre également une analyse qualitative des expériences d'analystes, en comparant les résultats avec les données de journal pour mieux comprendre comment les outils d'IA peuvent améliorer la productivité et être affiné pour une adoption plus large dans les environnements SOC.
