'Security Copilot' da Microsoft Sics ChatGPT sobre violações de segurança

Jun 10, 2023

Lily Hay Newman

Há anos, "inteligência artificial" tem sido uma palavra da moda no setor de segurança cibernética, ferramentas promissoras que detectam comportamentos suspeitos em uma rede, descobrem rapidamente o que está acontecendo e orientam a resposta a incidentes se houver uma invasão. Os serviços mais confiáveis ​​e úteis, no entanto, foram na verdade algoritmos de aprendizado de máquina treinados para detectar características de malware e outras atividades de rede duvidosas. Agora, com a proliferação de ferramentas generativas de IA, a Microsoft diz que finalmente criou um serviço para defensores que vale todo o hype.

Duas semanas atrás, a empresa lançou o Microsoft 365 Copilot, que se baseia em uma parceria com a OpenAI junto com o próprio trabalho da Microsoft em modelos de linguagem grandes. A empresa agora está lançando o Security Copilot, uma espécie de notebook de campo de segurança que integra dados do sistema e monitoramento de rede de ferramentas de segurança como Microsoft Sentinel e Defender e até serviços de terceiros.

O Security Copilot pode exibir alertas, mapear em palavras e gráficos o que pode estar acontecendo em uma rede e fornecer etapas para uma possível investigação. Como um usuário humano trabalha com o Copilot para mapear um possível incidente de segurança, a plataforma rastreia o histórico e gera resumos, portanto, se colegas forem adicionados ao projeto, eles poderão rapidamente atualizar e ver o que foi feito até agora. O sistema também produzirá automaticamente slides e outras ferramentas de apresentação sobre uma investigação para ajudar as equipes de segurança a comunicar os fatos de uma situação a pessoas de fora de seu departamento, principalmente executivos que podem não ter experiência em segurança, mas precisam se manter informados.

“Nos últimos anos, o que vimos é uma escalada absoluta na frequência dos ataques, na sofisticação dos ataques, bem como na intensidade dos ataques”, diz Vasu Jakkal, vice-presidente chefe de segurança da Microsoft. "E não há muito tempo para um zagueiro conter a escalada de um ataque. O equilíbrio agora é deslocado na direção dos atacantes."

Lauren Goode

Lauren Goode

Julian Chokkattu

Will Knight

Jakkal diz que, embora as ferramentas de segurança de aprendizado de máquina tenham sido eficazes em domínios específicos, como monitoramento de e-mail ou atividade em dispositivos individuais - conhecido como segurança de endpoint - o Security Copilot reúne todos esses fluxos separados e extrapola uma imagem maior. "Com o Security Copilot, você pode capturar o que os outros podem ter perdido porque ele forma esse tecido conjuntivo", diz ela.

O Security Copilot é amplamente alimentado pelo ChatGPT-4 da OpenAI, mas a Microsoft enfatiza que ele também integra um modelo proprietário específico de segurança da Microsoft. O sistema rastreia tudo o que é feito durante uma investigação. O registro resultante pode ser auditado e os materiais produzidos para distribuição podem ser todos editados para precisão e clareza. Se algo que o Copilot está sugerindo durante uma investigação estiver errado ou irrelevante, os usuários podem clicar no botão "Fora do alvo" para treinar ainda mais o sistema.

A plataforma oferece controles de acesso para que determinados colegas possam ser compartilhados em determinados projetos e não em outros, o que é especialmente importante para investigar possíveis ameaças internas. E o Security Copilot permite uma espécie de backstop para monitoramento 24 horas por dia, 7 dias por semana. Dessa forma, mesmo que alguém com um conjunto de habilidades específico não esteja trabalhando em um determinado turno ou dia, o sistema pode oferecer análises básicas e sugestões para ajudar a preencher lacunas. Por exemplo, se uma equipe deseja analisar rapidamente um script ou binário de software que pode ser malicioso, o Security Copilot pode iniciar esse trabalho e contextualizar como o software está se comportando e quais podem ser seus objetivos.

A Microsoft enfatiza que os dados do cliente não são compartilhados com outras pessoas e "não são usados ​​para treinar ou enriquecer os modelos básicos de IA". A Microsoft se orgulha, no entanto, de usar "65 trilhões de sinais diários" de sua enorme base de clientes em todo o mundo para informar seus produtos de detecção e defesa de ameaças. Mas Jakkal e seu colega, Chang Kawaguchi, vice-presidente da Microsoft e arquiteto de segurança de IA, enfatizam que o Security Copilot está sujeito às mesmas restrições e regulamentações de compartilhamento de dados que qualquer um dos produtos de segurança com os quais se integra. Portanto, se você já usa o Microsoft Sentinel ou Defender, o Security Copilot deve cumprir as políticas de privacidade desses serviços.