思科宣布其自主研发的AI模型已准备就绪,并开始为其产品提供支持,首个应用是Duo身份智能服务。
思科使用的模型名为"Foundation-Sec-1.1-8B-Instruct"。根据Hugging Face模型市场的描述,这是一个开放权重、拥有80亿参数的指令调优自回归语言模型,采用优化的Transformer架构,基于Meta Llama-3.1-8B骨干网络。
思科针对网络安全应用对该模型进行了调优,并针对三个应用场景进行了优化:
SOC加速:自动化分类、摘要生成、案例记录生成和证据收集。
主动威胁防御:模拟攻击、优先级漏洞排序、映射战术技术过程(TTP)以及建模攻击者行为。
工程赋能:提供安全协助、验证配置、评估合规证据并改善安全态势。
在周二发布的文章中,思科透露正在将该模型应用于Duo身份智能服务。该服务会分析用户登录网络的身份、登录位置以及使用的设备。
思科解释说:"通过检查认证后的信号,系统能够识别传统访问控制常常遗漏的模式,包括异常地理活动、异常权限使用、多因素认证疲劳攻击迹象或会话劫持等。"
该产品会通过每周电子邮件摘要向用户提醒潜在的身份安全问题,现在思科将借助其新模型来撰写这些摘要。
思科在文章中表示:"生成这样的摘要需要一个能够理解身份行为、能够解释长事件链,并以符合安全管理员决策方式进行沟通的人工智能模型。"文章补充道,通用模型"并非总是针对身份安全所需的细微差别和精确度进行调优,而且往往会引入外部依赖性。"
思科表示,使用自己的模型将提供"更准确、更易读、更符合真实安全工作流程的摘要"。
该公司还表示,摘要的内容将变得"明显更强大……更清晰、更一致。优先级排序得到改进,使识别需要立即关注的事项变得更容易。洞察对每个环境更具相关性,建议的表达方式更具可操作性。"思科认为,因此用户将更频繁地使用身份智能服务,因为该模型将产生需要采取行动的信息。
改进后的摘要是Duo开发团队和思科基础模型团队合作的成果。
思科文章称:"两个团队创建了一个经过调优的提示栈,显著提高了输出质量,并使模型与摘要中预期的分析风格保持一致。"
超过2000家思科客户会收到该摘要。如果您是其中之一,请告诉我们每周电子邮件是否有所改进!
该模型可以在本地或云端运行,并且能做的远不止撰写优质的电子邮件摘要。思科表示,其下游应用包括:
根据上下文风险对漏洞进行优先级排序
从文档中提取合规证据
生成红队攻击计划和威胁模型
预测正在调查事件中攻击者的下一步行动
今年11月初,思科曾告诉The Register,该公司正在开发一个170亿参数的基础模型,以及"一整套"其他AI技术。Foundation-Sec-1.1-8B-Instruct似乎来自这个系列,虽然它是一个基础模型,但比思科提到的即将推出的模型少了90亿个参数。
Q&A
Q1:思科的Foundation-Sec-1.1-8B-Instruct模型是什么?
A:这是思科自主研发的一个开放权重、拥有80亿参数的指令调优自回归语言模型,采用优化的Transformer架构,基于Meta Llama-3.1-8B骨干网络。该模型专门针对网络安全应用进行了调优,可用于SOC加速、主动威胁防御和工程赋能三大场景。
Q2:思科AI模型在Duo身份智能服务中如何应用?
A:该模型用于生成Duo身份智能服务的每周电子邮件摘要。通过分析用户登录身份、位置和设备等认证后信号,识别异常地理活动、异常权限使用、多因素认证疲劳攻击等传统访问控制遗漏的模式,并生成更准确、易读且符合安全工作流程的摘要报告,帮助安全管理员快速识别需要立即关注的问题。
Q3:思科自研AI模型相比通用模型有什么优势?
A:思科表示通用模型并非总是针对身份安全所需的细微差别和精确度进行调优,而且往往会引入外部依赖性。而自研模型能提供更准确、更易读、更符合真实安全工作流程的摘要,内容更清晰一致,优先级排序更合理,洞察更具环境相关性,建议表达方式更具可操作性。
)
