En la conferencia Black Hat USA de este año, los Senior Data Scientists de Sophos Ben Gelman y Sean Bergeron darán una charla sobre su investigación en la detección de anomalías en la línea de comandos, en la que examinarán cómo los grandes modelos de lenguaje (LLM) y la detección clásica de anomalías pueden combinarse de forma sinérgica para identificar datos críticos con el fin de mejorar los clasificadores dedicados a la línea de comandos.
La detección de anomalías en la ciberseguridad promete desde hace tiempo la capacidad de identificar amenazas resaltando las desviaciones del comportamiento esperado. Sin embargo, su aplicación práctica para clasificar líneas de comando maliciosas suele dar lugar a altos índices de falsos positivos, lo que la hace cara e ineficaz. Pero eso no es todo en lo que respecta a la detección de anomalías en la línea de comando: las recientes innovaciones en IA ofrecen un nuevo ángulo que los investigadores pueden explorar.
En su charla, Ben y Sean explorarán este tema desarrollando un proceso que no depende de la detección de anomalías como punto de fallo. El uso de la detección de anomalías para alimentar un proceso diferente evita las tasas de falsos positivos potencialmente catastróficas de un método no supervisado. En su lugar, Ben y Sean crearon mejoras en un modelo supervisado dirigido a la clasificación.
Inesperadamente, el éxito de su método no dependió de la detección de anomalías para localizar líneas de comando maliciosas. Obtuvieron una valiosa información: la detección de anomalías, cuando se combina con el etiquetado basado en LLM, produce un conjunto notablemente diverso de líneas de comando benignas. Aprovechar estos datos benignos al entrenar clasificadores de líneas de comando reduce significativamente las tasas de falsos positivos. Además, permite a los investigadores y defensores utilizar los abundantes datos existentes sin tener que buscar agujas en un pajar, que son las líneas de comando maliciosas en los datos de producción.
Ben y Sean compartirán los resultados de su investigación y la metodología de su experimento, destacando cómo la diversidad de datos benignos identificados mediante la detección de anomalías amplía la comprensión del clasificador y contribuye a crear un sistema de detección más resistente. Al cambiar el enfoque de buscar únicamente anomalías maliciosas a aprovechar la diversidad benigna, desarrollaron un posible cambio de paradigma en las estrategias de clasificación de líneas de comando, algo que puede implementarse en sistemas de detección a gran escala y bajo costo.
Ben y Sean presentarán su ponencia en la conferencia Black Hat USA, que se celebrará en Las Vegas, Nevada, el jueves 7 de agosto a las 13:30 PDT. Tras la presentación se publicará un artículo más detallado sobre su investigación.
