Найти в Дзене
Гостев из будущего
3 подписчика

Хотя подход SentinelOne выглядит как «серебряная пуля» для киберразведки, у него есть существенные технологические и эксплуатационные риски

1 мин
Если вы планируете внедрять нечто подобное, стоит учитывать следующие «подводные камни»: Обратная сторона медали: Минусы и риски • Галлюцинации и «призрачные связи»: LLM всё еще могут выдумывать связи там, где их нет, или неверно интерпретировать контекст. В CTI ошибка в одном узле графа (например, неверная привязка IP к группировке) может привести к ложным срабатываниям (False Positives) во всей системе защиты. • Проблема «черного ящика»: Логика, по которой модель извлекла именно эту сущность, не всегда прозрачна. В отличие от классических парсеров на базе правил, здесь сложно провести аудит того, почему система решила, что «объект А связан с объектом Б». • Высокая стоимость и масштабируемость: Обработка тысяч архивных отчетов через мощные модели (вроде GPT-4o или Claude 3.5) стоит дорого. Использование же локальных маленьких моделей (Llama-3-8B и т.д.) часто приводит к потере качества извлечения сложных связей. • Конфиденциальность данных: Отправка чувствительных отчетов о внут

Хотя подход SentinelOne выглядит как «серебряная пуля» для киберразведки, у него есть существенные технологические и эксплуатационные риски. Если вы планируете внедрять нечто подобное, стоит учитывать следующие «подводные камни»:

Обратная сторона медали: Минусы и риски

• Галлюцинации и «призрачные связи»: LLM всё еще могут выдумывать связи там, где их нет, или неверно интерпретировать контекст. В CTI ошибка в одном узле графа (например, неверная привязка IP к группировке) может привести к ложным срабатываниям (False Positives) во всей системе защиты.

• Проблема «черного ящика»: Логика, по которой модель извлекла именно эту сущность, не всегда прозрачна. В отличие от классических парсеров на базе правил, здесь сложно провести аудит того, почему система решила, что «объект А связан с объектом Б».

• Высокая стоимость и масштабируемость: Обработка тысяч архивных отчетов через мощные модели (вроде GPT-4o или Claude 3.5) стоит дорого. Использование же локальных маленьких моделей (Llama-3-8B и т.д.) часто приводит к потере качества извлечения сложных связей.

• Конфиденциальность данных: Отправка чувствительных отчетов о внутренних инцидентах в облачные API LLM-провайдеров — это риск утечки данных (Data Leakage). Для многих компаний это становится стоп-фактором.

• Зависимость от качества схемы (Ontology): Если ваша схема (например, STIX 2.1) недостаточно гибкая, LLM может попытаться «втиснуть» уникальную угрозу в неподходящие рамки, теряя важные нюансы атаки.

• Необходимость Human-in-the-loop: На текущем этапе развития технологий полностью исключить человека из процесса нельзя. Аналитик всё равно должен верифицировать граф перед тем, как на его основе будут приниматься автоматические решения по блокировке.

Это мощный инструмент автоматизации рутины, но он не заменяет аналитика, а лишь меняет его роль с «переписчика данных» на «редактора и валидатора знаний».

@gostev_future