«Второй пилот безопасности» Microsoft выявляет ChatGPT о нарушениях безопасности

Jun 10, 2023

Лили Хэй Ньюман

В течение многих лет «искусственный интеллект» был модным словечком в индустрии кибербезопасности, обещая инструменты, которые выявляют подозрительное поведение в сети, быстро выясняют, что происходит, и направляют реагирование на инциденты в случае вторжения. Однако наиболее заслуживающими доверия и полезными сервисами на самом деле являются алгоритмы машинного обучения, обученные выявлять характеристики вредоносных программ и другую сомнительную сетевую активность. Теперь, когда инструменты генеративного искусственного интеллекта распространяются, Microsoft заявляет, что наконец-то создала сервис для защитников, достойный всей этой шумихи.

Две недели назад компания запустила Microsoft 365 Copilot, который основан на партнерстве с OpenAI, а также на собственной работе Microsoft над большими языковыми моделями. В настоящее время компания выпускает Security Copilot, своего рода полевой блокнот безопасности, который объединяет системные данные и мониторинг сети с помощью таких инструментов безопасности, как Microsoft Sentinel и Defender, и даже сторонних сервисов.

Security Copilot может отображать предупреждения, отображать в словах и схемах то, что может происходить в сети, а также предлагать шаги для потенциального расследования. Пока пользователь-человек работает с Copilot над составлением карты возможного инцидента безопасности, платформа отслеживает историю и генерирует сводные данные, поэтому, если к проекту присоединяются коллеги, они могут быстро освоиться и посмотреть, что было сделано на данный момент. Система также будет автоматически создавать слайды и другие инструменты презентации о расследовании, чтобы помочь службам безопасности донести факты о ситуации до людей за пределами их отдела, в частности, руководителей, которые могут не иметь опыта работы в сфере безопасности, но должны оставаться в курсе.

«За последние несколько лет мы наблюдаем абсолютный рост частоты атак, их сложности, а также интенсивности атак», — говорит Васу Джаккал, главный вице-президент Microsoft по безопасности. «И у защитника не так много времени, чтобы сдержать эскалацию атаки. Сейчас баланс смещен в сторону нападающих».

Лорен Гуд

Лорен Гуд

Джулиан Чоккатту

Уилл Найт

Джаккал говорит, что, хотя инструменты безопасности машинного обучения эффективны в определенных областях, таких как мониторинг электронной почты или активности на отдельных устройствах (известный как безопасность конечных точек), Security Copilot объединяет все эти отдельные потоки и экстраполирует более широкую картину. «С помощью Security Copilot вы можете уловить то, что другие, возможно, упустили, потому что он образует соединительную ткань», — говорит она.

Security Copilot в основном работает на основе ChatGPT-4 от OpenAI, но Microsoft подчеркивает, что он также интегрирует собственную модель безопасности Microsoft. Система отслеживает все, что делается во время расследования. Полученную запись можно проверить, а материалы, которые она создает для распространения, можно отредактировать для обеспечения точности и ясности. Если что-то, что второй пилот предлагает во время расследования, неверно или не имеет значения, пользователи могут нажать кнопку «Не по цели», чтобы продолжить обучение системы.

Платформа предлагает средства контроля доступа, поэтому некоторые коллеги могут участвовать в конкретных проектах, а не в других, что особенно важно для расследования возможных инсайдерских угроз. А Security Copilot обеспечивает своего рода поддержку для круглосуточного мониторинга. Таким образом, даже если кто-то с определенным набором навыков не работает в данную смену или в определенный день, система может предложить базовый анализ и предложения, которые помогут устранить пробелы. Например, если команда хочет быстро проанализировать сценарий или двоичный файл программного обеспечения, который может быть вредоносным, Security Copilot может начать эту работу и контекстуализировать поведение программного обеспечения и каковы могут быть его цели.

Microsoft подчеркивает, что данные клиентов не передаются другим лицам и «не используются для обучения или расширения базовых моделей ИИ». Однако Microsoft гордится тем, что использует «65 триллионов ежедневных сигналов» от своей огромной клиентской базы по всему миру для информирования о своих продуктах по обнаружению угроз и защите. Но Джаккал и ее коллега Чанг Кавагути, вице-президент Microsoft и архитектор безопасности искусственного интеллекта, подчеркивают, что на Security Copilot распространяются те же ограничения и правила обмена данными, что и на любой из продуктов безопасности, с которыми он интегрируется. Поэтому, если вы уже используете Microsoft Sentinel или Defender, Security Copilot должен соблюдать политику конфиденциальности этих служб.