El estudio examina cómo la IA puede aliviar las cargas de trabajo para los equipos de ciberseguridad de primera línea

CSIRO, la Agencia Nacional de Ciencias de Australia, ha analizado los datos de un ensayo de 10 meses realizado por la firma global de seguridad cibernética Esentire que explora cómo los modelos de idiomas grandes (LLM) como ChatGPT-4 pueden apoyar a los analistas de seguridad cibernética para detectar y detener las amenazas mientras reducen la fatiga. Los resultados de la preimpresión están disponibles en el servidor Arxiv.

Los datos anónimos se recopilaron en los Centros de Operaciones de Seguridad de Esentire (SOC) en Irlanda y Canadá, donde los analistas identifican, investigan y responden a los ataques cibernéticos.

Durante la prueba, 45 analistas de seguridad cibernética hicieron de ChatGPT-4 más de 3.000 preguntas, principalmente para tareas rutinarias de bajo riesgo, como interpretar datos técnicos, editar texto y analizar el código de malware.

El Dr. Mohan Baruwal Chhetri, científico principal de investigación de CSIRO Data61, dijo que el estudio muestra que la IA puede integrarse en flujos de trabajo reales para apoyar, no reemplazar, la experiencia humana.

«CHATGPT-4 apoyó a los analistas con tareas como interpretar alertas, pulir informes o analizar el código, mientras dejaba las llamadas de juicio al experto humano», dijo el Dr. Baruwal Chhetri.

«Este enfoque colaborativo se adapta a las necesidades del usuario, genera confianza y libera tiempo para tareas de mayor valor».

El estudio se realizó bajo el programa de inteligencia colaborativa (Cintel) de CSIRO, que explora cómo la colaboración Human-AI puede mejorar el rendimiento y el bienestar de los dominios, incluida la seguridad cibernética, donde la fatiga del analista es un desafío creciente.

Los equipos de SOC enfrentan volúmenes crecientes de alertas, muchos de ellos falsos positivos, lo que lleva a amenazas perdidas, una productividad reducida y un potencial agotamiento.

El Dr. Baruwal Chhetri dijo que la colaboración Human-AI también podría beneficiar a otros entornos de alta presión, como la respuesta de emergencia y la atención médica.

El Dr. Martin Lochner, científico de datos y coordinador de investigación, explicó que el ensayo es el primer estudio industrial a largo plazo que muestra cómo los LLM pueden usarse en las operaciones de seguridad cibernética del mundo real, ayudando a dar forma a la próxima generación de herramientas de IA para los equipos SOC.

«Esta colaboración combinó de manera única el rigor académico con la realidad de la industria, produciendo ideas que ni los estudios de laboratorio puro ni el análisis solo de la industria podrían lograr», dijo Locher.

«Por ejemplo, descubrimos que solo el 4% de las solicitudes de analistas para ChatGPT-4 solicitaron una respuesta directa, como ‘¿Es esto malicioso?’ En cambio, los analistas prefirieron recibir evidencia y contexto para apoyar su propia toma de decisiones.

«Esto resalta el valor de LLM como herramientas de apoyo a la decisión que mejoran la autonomía del analista en lugar de reemplazarlo».

Sobre la base del estudio de 10 meses, la próxima fase de investigación será una investigación a más largo plazo utilizando un conjunto de datos de dos años para examinar cómo el uso de los analistas de CHATGPT-4 evoluciona con el tiempo.

Esta fase también incorporará un análisis cualitativo de las experiencias de los analistas, comparando los resultados con los datos de registro para comprender mejor cómo las herramientas de IA pueden mejorar la productividad y ser refinado para una adopción más amplia en entornos SOC.