Esta publicación está coescrita con Martin Holste de Trellix.
Los equipos de seguridad están lidiando con un universo en evolución de amenazas de ciberseguridad. Estas amenazas se están expandiendo en el factor de forma, la sofisticación y la superficie de ataque a las que se dirigen. Representado por las limitaciones de talento y presupuesto, los equipos a menudo se ven obligados a priorizar los eventos que se realizan para la investigación, lo que limita la capacidad de detectar e identificar nuevas amenazas. Trellix Wise es una tecnología con IA que permite a los equipos de seguridad automatizar la investigación de amenazas y agregar puntajes de riesgo a los eventos. Con Trellix, los equipos de seguridad ahora pueden completar lo que solía llevar múltiples analistas horas de trabajo para investigar en segundos, lo que les permite expandir los eventos de seguridad que pueden cubrir.
Trellixuna empresa líder que entrega la plataforma de IA cibernética con más de 53,000 clientes en todo el mundo, surgió en 2022 de la fusión de McAfee Enterprise y FireEye. La plataforma de seguridad integral, abierta y nativa de IA de la compañía ayuda a las organizaciones ayuda a la resiliencia operativa contra amenazas avanzadas. Trellix Wise está disponible para los clientes como parte de la plataforma de seguridad Trellix. Esta publicación analiza la adopción y evaluación de Amazon Nova Modelos de base (FMS) de Trellix.
Con la creciente adopción y uso, el equipo de TrelLix ha estado explorando formas de optimizar la estructura de costos de las investigaciones de Trelix Wise. Los FMS más pequeños y rentables parecían prometedores y Amazon Nova Micro se destacó como una opción debido a su calidad y costo. En las evaluaciones tempranas, el equipo de Trellix observó que Amazon Nova Micro entregó inferencias tres veces más rápidas y con un costo casi 100 veces menor.
Las siguientes cifras son los resultados de las pruebas al comparar Amazon Nova Micro con otros modelos en Roca madre de Amazon.
El equipo de Trellix identificó áreas donde Amazon Nova Micro puede complementar su uso del soneto Claude de Anthrope, ofreciendo costos más bajos y mayores velocidades generales. Además, el equipo de servicios profesionales de Trellix encontró que Amazon Nova Lite era un modelo fuerte para la generación de código y la comprensión del código y ahora está utilizando Amazon Nova Lite para acelerar sus flujos de trabajo de entrega de soluciones personalizadas.
Trellix Wise, Investigación de amenazas generadas por AI para ayudar a los analistas de seguridad
Trellix Wise está construido en Amazon Bedrock y utiliza el soneto Claude de Anthrope como su modelo principal. La plataforma utiliza el servicio Amazon OpenSearch almacena miles de millones de eventos de seguridad recopilados de los entornos monitoreados. El servicio de OpenSearch viene con una capacidad de base de datos vectorial incorporada, lo que hace que sea sencillo usar los datos almacenados en el servicio OpenSearch como datos de contexto en una arquitectura de generación de recuperación de generación aumentada (RAG) con bases de conocimiento de Amazon Bedrock. Utilizando el servicio de OpenSearch y el rock de Amazon, Trellix Wise lleva a cabo sus pasos automatizados de investigación de amenazas patentadas en cada evento. Esto incluye la recuperación de los datos requeridos para el análisis, el análisis de los datos utilizando información de otros modelos de aprendizaje automático personalizado (ML) y puntuación de riesgos. Este enfoque sofisticado permite que el servicio interprete patrones de datos de seguridad complejos y tome decisiones inteligentes sobre cada evento. La investigación Wise de Trellix le da a cada evento un puntaje de riesgo y permite a los analistas profundizar en los resultados del análisis, para determinar si el seguimiento humano es necesario.
La siguiente captura de pantalla muestra un ejemplo de un evento en el tablero de Trellix Wise.
Con la creciente escala de adopción, Trellix ha estado evaluando formas de mejorar el costo y la velocidad. El equipo de Trellix ha determinado que no todas las etapas en la investigación necesitan la precisión del soneto de Claude, y que algunas etapas pueden beneficiarse de modelos de costo más rápido que, sin embargo, son altamente precisos para la tarea objetivo. Aquí es donde Amazon Nova Micro ha ayudado a mejorar la estructura de costos de las investigaciones.
Mejorar el costo de investigación con Amazon Nova Micro, Rag e Inferencias repetidas
El flujo de trabajo de investigación de amenazas consta de múltiples pasos, desde la recopilación de datos hasta el análisis, hasta la asignación de un puntaje de riesgo para el evento. La etapa de colecciones recupera la información relacionada con el evento para el análisis. Esto se implementa a través de una o más llamadas de inferencia a un modelo en Amazon Bedrock. La prioridad en esta etapa es maximizar la integridad de los datos de recuperación y minimizar la inexactitud (alucinaciones). El equipo de Trellix identificó esta etapa como la etapa óptima en el flujo de trabajo para optimizar la velocidad y el costo.
El equipo de Trellix concluyó, según sus pruebas, Amazon Nova Micro ofreció dos ventajas clave. Su velocidad le permite procesar 3-5 inferencias al mismo tiempo que una sola inferencia de soneto de Claude y su costo por inferencia es casi 100 veces más bajo. El equipo de Trellix determinó que al ejecutar múltiples inferencias, puede maximizar la cobertura de los datos requeridos y los costos aún más bajos en un factor de 30. Aunque las respuestas del modelo tenían una mayor variabilidad que los modelos más grandes, ejecutar múltiples pases permite llegar a un más exhaustivo Set de respuesta. Las limitaciones de respuesta aplicadas a través de la ingeniería rápida patentada y los datos de referencia limitan el espacio de respuesta, limitando las alucinaciones e inexactitudes en la respuesta.
Antes de implementar el enfoque, el equipo de Trellix realizó pruebas detalladas para revisar la integridad de la respuesta, el costo y la velocidad. El equipo se dio cuenta al principio de su viaje de IA generativo de que los puntos de referencia estandarizados no son suficientes al evaluar los modelos para un caso de uso específico. Se configuró un arnés de prueba que replica los flujos de trabajo de recopilación de información y se llevaron a cabo evaluaciones detalladas de múltiples modelos, para validar los beneficios de este enfoque antes de avanzar. Los beneficios de velocidad y costo observados por Trellix ayudaron a validar los beneficios antes de trasladar el nuevo enfoque a la producción. El enfoque ahora se implementa en un entorno piloto limitado. Se están llevando a cabo evaluaciones detalladas como parte de un despliegue por fases en la producción.
Conclusión
En esta publicación, compartimos cómo Trellix adoptó y evaluó los modelos Amazon Nova, lo que resultó en una aceleración de inferencia significativa y menores costos. Reflexionando sobre el proyecto, el equipo de Trellix reconoce lo siguiente como habilitadores de clave que les permiten lograr estos resultados:
- El acceso a una amplia gama de modelos, que incluyen modelos más pequeños altamente capaces como Amazon Nova Micro y Amazon Nova Lite, aceleró la capacidad del equipo para experimentar y adoptar fácilmente nuevos modelos, según corresponda.
- La capacidad de restringir las respuestas para evitar las alucinaciones, el uso de andamios específicos previamente construidos que incorporaron datos, procesos y políticas patentados, redujo el riesgo de alucinaciones e inexactitudes.
- Los servicios de datos que permitieron la integración efectiva de datos junto con los modelos de base simplificaron la implementación y redujeron el tiempo a la producción de nuevos componentes.
“Amazon Bedrock facilita la evaluación de nuevos modelos y enfoques a medida que estén disponibles. El uso de Amazon Nova Micro junto con Claude Sonnet de Anthrope nos permite ofrecer la mejor cobertura a nuestros clientes, rápido y al mejor costo operativo “, dice Martin Holste, director senior de ingeniería, Trellix. “Estamos muy contentos con la flexibilidad que Amazon Bedrock nos permite a medida que continuamos evaluando y mejorando a Trellix y la plataforma de seguridad Trellix”.
Comience con Amazon Nova en el Consola de roca en Amazon. Obtenga más información en el Página de productos de Amazon Nova.
Sobre los autores
Martin Holste es el CTO para Cloud y Genai en Trellix.
Firat Elbey es gerente principal de productos en Amazon AGI.
Deepak Mohan es un gerente principal de marketing de productos en AWS.