Cisco wprowadza własne rozwiązania AI. Podobno będzie bezpieczniej

Cisco oficjalnie uznało, że jego autorski model sztucznej inteligencji osiągnął dojrzałość pozwalającą na wdrożenie w produktach komercyjnych. Pierwszym obszarem, w którym nowa technologia trafia do klientów, jest oferta Duo Identity Intelligence, czyli platforma analizująca zdarzenia związane z tożsamością użytkowników i dostępem do sieci firmowych.

Decyzja Cisco wpisuje się w szerszy trend odchodzenia od modeli ogólnego przeznaczenia na rzecz wyspecjalizowanych rozwiązań trenowanych pod konkretne scenariusze biznesowe. W tym przypadku chodzi o bezpieczeństwo tożsamości, analizę zachowań użytkowników oraz wsparcie zespołów SOC w środowiskach o wysokiej presji operacyjnej.

Foundation-Sec – model zaprojektowany pod bezpieczeństwo

Sercem nowego podejścia jest model o nazwie Foundation-Sec-1.1-8B-Instruct. Cisco zdecydowało się na architekturę opartą na Llama 3.1, rozwijaną pierwotnie przez Meta, i udostępnianą jako otwarty model językowy. Wersja wykorzystana przez Cisco liczy osiem miliardów parametrów i została dostrojona do pracy instrukcyjnej oraz analizy sekwencji zdarzeń.

Firma podkreśla, że kluczowe znaczenie miało przystosowanie modelu do realiów cyberbezpieczeństwa. Zamiast uniwersalnych odpowiedzi generowanych przez modele konsumenckie, Foundation-Sec został nauczony interpretowania logów, zdarzeń uwierzytelniania oraz kontekstów typowych dla środowisk korporacyjnych.

Duo Identity Intelligence z nowym mózgiem

Pierwszym produktem, który korzysta z nowego modelu, jest Duo Identity Intelligence. Usługa analizuje dane dotyczące tego, kto loguje się do systemów, z jakiej lokalizacji oraz z jakiego urządzenia. Na podstawie zdarzeń po uwierzytelnieniu system potrafi wychwytywać anomalie, nietypowe zmiany geograficzne, nadużycia uprawnień oraz sygnały wskazujące na próby obejścia uwierzytelniania wieloskładnikowego.

Nowy model odpowiada za generowanie cotygodniowych podsumowań przesyłanych administratorom bezpieczeństwa. Cisco przekonuje, że takie raporty wymagają zrozumienia długich ciągów zdarzeń oraz sposobu podejmowania decyzji w zespołach SOC, a tego nie zapewniają modele trenowane bez kontekstu domenowego.

Dlaczego własny model zamiast cudzej chmury

Cisco otwarcie wskazuje ograniczenia modeli ogólnego przeznaczenia wykorzystywanych w krytycznych systemach bezpieczeństwa. Firma zwraca uwagę na ryzyko zależności od zewnętrznych dostawców oraz na brak precyzji w interpretacji niuansów związanych z tożsamością i dostępem do zasobów.

Własny model pozwala Cisco zachować większą kontrolę nad danymi, stylem analitycznym oraz spójnością rekomendacji. Według producenta przekłada się to na czytelniejsze raporty, lepszą priorytetyzację zdarzeń oraz bardziej praktyczne wskazówki dla zespołów odpowiedzialnych za reakcję na incydenty.

Współpraca zespołów i dopracowany kontekst

Cisco podkreśla, że kluczowym elementem wdrożenia była ścisła współpraca zespołów rozwijających Duo oraz inżynierów odpowiedzialnych za modele bazowe. Wspólnie opracowano dedykowany stos komunikatów i kontekstów wejściowych, który nadaje odpowiedni ton i strukturę generowanym analizom.

Efektem jest model, który prezentuje wnioski w stylu zbliżonym do raportów tworzonych ręcznie przez doświadczonych analityków bezpieczeństwa. Cisco uważa, że takie podejście zwiększa użyteczność produktu i zachęca klientów do regularnego korzystania z Identity Intelligence.

Więcej niż podsumowania e-maili

Choć na pierwszy plan wysuwają się cotygodniowe raporty, Cisco jasno sygnalizuje, że Foundation-Sec ma znacznie szersze zastosowania. Model może działać lokalnie lub w chmurze i wspierać analizę podatności, ocenę zgodności, planowanie ćwiczeń red-team oraz prognozowanie kolejnych ruchów atakujących w trakcie aktywnych dochodzeń.

To zapowiedź dalszej ekspansji sztucznej inteligencji Cisco w obszarach operacyjnych, które dotychczas wymagały dużego nakładu pracy manualnej i wysokich kompetencji eksperckich.

Wcześniejsze deklaracje firmy wskazują, że Foundation-Sec-1.1-8B-Instruct jest tylko jednym z elementów szerszej strategii. Cisco pracuje nad większym modelem bazowym o siedemnastu miliardach parametrów oraz nad całą rodziną wyspecjalizowanych rozwiązań AI.