Компания Cisco приняла решение интегрировать собственные модели искусственного интеллекта в свои продукты, начиная с сервиса Duo Identity Intelligence.
Модель, которую будет использовать Cisco, называется «Foundation-Sec-1.1-8B-Instruct». Как указано на платформе Hugging Face, это модель с открытыми весами, обученная на 8 миллиардах параметров, основанная на архитектуре Meta Llama-3.1-8B.
Cisco адаптировала модель для задач кибербезопасности и оптимизировала ее для трех основных направлений:
- Ускорение работы SOC: Автоматизация триажа инцидентов, составление сводок, генерация описаний инцидентов и сбор доказательств.
- Проактивная защита от угроз: Моделирование атак, приоритизация уязвимостей, картирование тактик, техник и процедур (TTPs), а также моделирование поведения злоумышленников.
- Поддержка инженеров: Предоставление рекомендаций по безопасности, проверка конфигураций, оценка соответствия нормативным требованиям и улучшение общей защищенности.
Во вторник в своем официальном блоге Cisco сообщила, что использует эту модель в Duo Identity Intelligence — сервисе, который анализирует, кто, откуда и с каких устройств осуществляет вход в сеть.
«Анализируя сигналы после аутентификации, система выявляет закономерности, которые часто упускаются традиционными средствами контроля доступа, включая необычную географическую активность, аномальное использование привилегий и признаки попыток утомления многофакторной аутентификации (MFA) или захвата сеанса», — пояснили в Cisco.
Продукт информирует пользователей о потенциальных проблемах с идентификацией в еженедельном электронном письме, которое теперь будет создавать Cisco с помощью своей новой модели.
«Для создания такой сводки требуется модель искусственного интеллекта, которая понимает поведение пользователей, может интерпретировать длинные цепочки событий и доносит информацию таким образом, чтобы это соответствовало процессу принятия решений администраторами безопасности», — говорится в сообщении Cisco, где также отмечается, что универсальные модели «не всегда адаптированы для нюансов и точности, необходимых в области безопасности идентификации, и часто вводят внешние зависимости».
Используя собственную модель, Cisco обещает предоставлять «более точные, читабельные и лучше соответствующие реальным рабочим процессам безопасности сводки».
Компания также утверждает, что контент сводок станет «заметно сильнее… четче и последовательнее. Улучшится приоритизация, что облегчит определение того, что требует немедленного внимания. Аналитика станет более релевантной для каждой среды, а рекомендации будут выражены более действенным образом». Cisco полагает, что благодаря этому пользователи будут чаще пользоваться Identity Intelligence, поскольку модель будет генерировать информацию, требующую конкретных действий.
Усовершенствованная сводка стала результатом сотрудничества между командами разработчиков Duo и команд, создающих базовые модели Cisco.
«Обе группы создали набор настроенных промптов, который значительно улучшил качество выходных данных и согласовал модель с аналитическим стилем, ожидаемым в сводке», — отмечается в сообщении Cisco.
Еженедельную сводку получают более 2000 клиентов Cisco. Если вы один из них, сообщите нам, улучшилось ли качество электронных писем!
Модель может работать как локально, так и в облаке, и выполнять гораздо больше задач, чем просто написание красивых электронных сводок. Cisco заявляет, что ее дальнейшее применение включает:
- Приоритизацию уязвимостей на основе контекстуального риска
- Извлечение доказательств соответствия из документов
- Генерацию планов атак и моделей угроз для “красных команд”
- Прогнозирование следующих шагов злоумышленника в активных расследованиях
В начале ноября Cisco сообщила The Register о разработке базовой модели с 17 миллиардами параметров и «целого ряда» других ИИ-решений. Foundation-Sec-1.1-8B-Instruct, по-видимому, относится к этому ряду, поскольку, будучи базовой моделью, она на девять миллиардов параметров меньше, чем та, о которой говорила Cisco.
Автор – Simon Sharwood
