图:Microsoft Security Copilot使用界面截图

企业安全运营人员:“刚刚的告警是什么情况?”

Microsoft Security Copilot:“经分析,这是一起勒索软件入侵事件,攻击路径为…,相关IOC包括…,建议按照…进行处置。”

经过数小时奋战的传统安全分析师:……

前情回顾·科技巨头的网络安全战略

安全内参3月29日消息,在为Office套件提供AI驱动的Copilot助手后,微软又将注意力转向网络安全领域,宣布推出基于GPT-4与自有安全模型的生成式AI解决方案——Microsoft Security Copilot。

Security Copilot是网络安全专业人员的新助手,能够帮助防御方发现漏洞、更好地理解日常出现的大量信号与数据。

Security Copilot的外观是一个简单的提示框,与其他聊天机器人别无二致。您可以直接提问“我的企业有哪些安全事件?”,Security Copilot将做出总结。在后端,它利用微软通过威胁情报和专用安全技能日常收集到的65万亿个信号,帮助安全人士追踪网络威胁。

图:Security Copilot能为安全人士执行分析

赋能提效协作样样能干

Microsoft Security Copilot的目标是协助安全分析师工作,而非直接取代,其中还包含供同事协作和信息共享的记事板功能。安全人士可以在Security Copilot的帮助下开展事件调查、快速总结事件经过、高效整理事件报告。

Security Copilot支持自然语言输入,安全人员可以要求其为特定漏洞生成摘要,并向其“投喂”文件、网址或代码片段以供分析,甚至要求它提供来自其他安全工具的事件和警报信息。所有提示和响应内容均被保存,以供调查人员进行完整的审计跟踪。

微软AI安全架构师Chang Kawaguchi接受采访时表示,结果可以被固定并汇总至共享工作区当中,这样同事们就能在同一背景下开展威胁分析和调查,“这就像为调查人员提供单独的工作区和共享笔记本,帮大家发布自己的当前工作内容。”

图:Security Copilot可以接收文件、URL及代码片段以供分析

Security Copilot最有趣的功能之一是提示簿。其本质是一组步骤或自动化操作,人们可以将其绑定到单一按钮或提示当中。比如说,安全研究人员可以通过一条共享提示对脚本做逆向工程,这样就不必坐等团队中的其他成员完成这类分析。我们甚至可以使用Security Copilot为安全事件和攻击向量创建PowerPoint幻灯片。

与Bing类似,当安全研究人员询问关于最新漏洞的信息时,Security Copilot能给出非常清晰的结果。微软引用的安全信息包括美国网络安全和基础设施安全局(CISA)、国家标准与技术研究所(NIST)的漏洞数据库,以及微软自己的威胁情报数据库。

为模型“幻觉”难题提供改进方案

当然,想要把一切安全工作都推给Microsoft Security Copilot还不现实。Kawaguchi坦言,“我们知道这些模型有时会出错,所以我们设置了反馈提交功能。”但这里的反馈循环要比在Bing上点赞或点踩复杂得多。“这边的情况要更复杂一点,毕竟安全模型出错的方式有很多。”微软会要求用户确切描述问题所在,以便更好地理解模型出现“幻觉”的情况。

Kawaguchi解释道,“我认为没人‍能保证模型不出任何「幻觉」,我们会努力通过公开来源、反馈提交和基于用户背景的数据等方式,确保人们能够理解和验证AI模型给出的数据。对于其中一些用例,问题可能没有唯一的正确答案,所以提供概率性回答对于组织和个人的调查工作可能更为有利。”

虽然微软的Security Copilot拥有类似于Bing的提示和聊天机器人界面,但却被严格限定为只能接受安全相关查询。用户无法在这里获取最新天气信息,也无法询问Security Copilot它最喜欢哪种颜色。Kawaguchi强调,“它不是Bing,它的工作也不是提供聊天体验。我认为它用起来更像是一种智能记事本,跟那些能自由对话的通用型聊天机器人有所不同。”

从今天起,微软已经开始向“少数客户”开放Security Copilot预览,但还没有公布产品全面上市的具体日期。Kawaguchi指出,“我们还没有讨论过全面上市的具体时间,这主要取决于模型的学习和负责任学习的情况。所以我们认为最好先将它交付给一小群人,在过程中逐渐学习并发展成熟,待合适时再以负责任的方式推向市场。”

生成式AI越来越多用于网络防御

自2022年11月ChatGPT-3发布以来,生成式AI的防御用例就在企业安全市场中保持着快速增长。

例如,开源安全供应商Armo就发布了ChatGPT集成,旨在通过自然语言为Kubernetes集群构建自定义安全控制。

同样,云安全供应商Orca Security也发布了自己的ChatGPT扩展,能够处理解决方案生成的安全警报,并为用户提供分步修复说明以管理数据泄露事件。

最新发布的Microsoft Security Copilot表明,生成式AI在企业安全领域的应用正在加速。各大厂商都希望帮助客户建立起自动化的安全运营中心(SOC),借此对抗同样变化迅猛的网络威胁态势。

Kawaguchi总结道,“攻击数量正不断增加,但防御方的力量却分散在多种工具和技术当中。我们认为Security Copilot有望改变其运作方式,提高安全工具和技术的实际成效。”

参考资料:https://www.theverge.com/2023/3/28/23659711/microsoft-security-copilot-gpt-4-ai-tool-features

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。