Un reciente estudio realizado por SophosAI ha revelado cómo los modelos de lenguaje grande (LLM) pueden optimizar de manera significativa la productividad en los centros de operaciones de seguridad (SOC). La investigación se llevó a cabo utilizando las plataformas Amazon Bedrock y Amazon SageMaker, y se centró en tres tareas específicas: conversión de lenguaje natural a SQL, predicción de la severidad de incidentes y la generación de resúmenes de incidentes. En estas, se implementó el modelo Claude 3 Sonnet desarrollado por Anthropic.
La primera tarea analizó la capacidad de los modelos LLM para transformar comandos en lenguaje natural a consultas SQL precisas. Los resultados fueron prometedores, ya que el modelo Claude demostró una precisión del 88%, evidenciando el potencial de estos modelos para asistir en la extracción de información esencial durante la investigación de amenazas.
En cuanto a la segunda tarea, se evaluó la habilidad de los LLM para clasificar la severidad de los eventos de seguridad. Aunque los modelos lograron identificar patrones de actividad sospechosa, la falta de entrenamiento específico en datos de ciberseguridad provocó que la precisión en la determinación de la criticidad de un incidente fuera limitada, situándose en un 71%.
La tercera tarea implicó la generación de resúmenes de incidentes de seguridad. En este ámbito, Claude mostró un rendimiento razonable, aunque el estudio sugiere que los modelos LLM podrían beneficiarse significativamente de un afinamiento adicional para evitar la omisión de detalles cruciales.
SophosAI indica que mientras los LLM como Claude presentan potencial para su uso en ciberseguridad, su efectividad óptima depende de ajustes precisos y la implementación de salvaguardas para evitar usos indebidos. Teniendo esto en cuenta, el estudio plantea que un modelo especialmente entrenado con datos de ciberseguridad podría mejorar considerablemente la exactitud en la evaluación de incidentes.
El uso de Amazon Bedrock permitió a los investigadores acceder y evaluar múltiples LLMs de manera económica y eficaz, sin la necesidad de implementar los modelos localmente. Por su parte, SageMaker proporcionó la flexibilidad necesaria para la implementación de modelos personalizados, optimizando costos mediante el uso de puntos finales asincrónicos.
Este estudio destaca el potencial de los LLM para mejorar la eficiencia en el análisis de amenazas en ciberseguridad. No obstante, subraya la importancia de una implementación cuidadosa y un posible entrenamiento especializado para optimizar la efectividad de estos modelos. SophosAI tiene previsto continuar refinando y evaluando estos modelos para asegurarse de que satisfacen las exigencias del sector tecnológico actual.
