Un reciente estudio llevado a cabo por SophosAI ha puesto en evidencia el creciente papel de los modelos de lenguaje grande (LLM) en la mejora de la productividad en los centros de operaciones de seguridad (SOC). Mediante el uso de herramientas avanzadas como Amazon Bedrock y Amazon SageMaker, la investigación analizó diversas tareas automatizadas que podrían facilitar el trabajo de los analistas de ciberseguridad.
La primera tarea estudiada fue la conversión de comandos en lenguaje natural a consultas SQL. Aquí, el modelo Claude, desarrollado por Anthropic, mostró una notable precisión del 88%, permitiendo a los analistas extraer información clave con mayor eficacia y rapidez durante la investigación de amenazas.
La evaluación también contempló la clasificación de la severidad de los incidentes de seguridad. Los resultados indicaron que, aunque los modelos LLM pueden identificar patrones sospechosos, su capacidad para valorar la crítica de un incidente sin un entrenamiento específico es limitada, mostrando una precisión aproximada del 71%.
Otra tarea relevante abordada por el estudio fue el resumen de incidentes de seguridad. Aunque Claude logró desempeñarse adecuadamente, SophosAI sugiere afinar los modelos LLM para evitar la omisión de detalles cruciales y mejorar la calidad del resumen.
La investigación resalta la necesidad de ajustes precisos y la implementación de salvaguardias para evitar el mal uso de estos modelos. También indicó que un modelo especializado, entrenado en datos específicos de ciberseguridad, podría incrementar notablemente la precisión en la evaluación de incidentes.
El uso de Amazon Bedrock permitió a los investigadores evaluar múltiplos LLMs de manera eficiente, mientras que SageMaker facilitó la implementación económica de modelos personalizados, optimizando costes gracias a su capacidad para desplegar puntos terminales de manera asincrónica.
Este estudio revela el potencial que tienen los LLMs para mejorar de forma significativa el análisis de amenazas en el ámbito de la ciberseguridad. No obstante, sugiere que estas herramientas requieren de una implementación cuidadosa y posiblemente de un entrenamiento especializado para asegurar su efectividad. SophosAI está comprometida a continuar explorando y refinando estos modelos para que cumplan con las demandas específicas del sector.
