Sics ChatGPT "Security Copilot" di Microsoft sulle violazioni della sicurezza

Jun 10, 2023

Lily Hay Newman

Da anni ormai, "intelligenza artificiale" è una parola d'ordine nel settore della sicurezza informatica, promettendo strumenti in grado di individuare comportamenti sospetti su una rete, capire rapidamente cosa sta succedendo e guidare la risposta agli incidenti in caso di intrusione. I servizi più credibili e utili, tuttavia, sono stati in realtà algoritmi di apprendimento automatico addestrati a individuare caratteristiche di malware e altre attività di rete dubbie. Ora, con il proliferare degli strumenti di intelligenza artificiale generativa, Microsoft afferma di aver finalmente creato un servizio per i difensori degno di tutto il clamore pubblicitario.

Due settimane fa, la società ha lanciato Microsoft 365 Copilot, che si basa su una partnership con OpenAI insieme al lavoro di Microsoft su modelli linguistici di grandi dimensioni. L'azienda sta ora lanciando Security Copilot, una sorta di notebook sul campo della sicurezza che integra i dati di sistema e il monitoraggio della rete da strumenti di sicurezza come Microsoft Sentinel e Defender e persino servizi di terze parti.

Security Copilot può far emergere avvisi, mappare in parole e grafici ciò che potrebbe accadere all'interno di una rete e fornire passaggi per una potenziale indagine. Mentre un utente umano lavora con Copilot per mappare un possibile incidente di sicurezza, la piattaforma tiene traccia della cronologia e genera riepiloghi, quindi se i colleghi vengono aggiunti al progetto, possono rapidamente aggiornarsi e vedere cosa è stato fatto finora. Il sistema produrrà inoltre automaticamente diapositive e altri strumenti di presentazione su un'indagine per aiutare i team di sicurezza a comunicare i fatti di una situazione a persone esterne al proprio dipartimento, e in particolare a dirigenti che potrebbero non avere esperienza in materia di sicurezza ma hanno bisogno di rimanere informati.

"Negli ultimi anni, ciò che abbiamo visto è questa assoluta escalation nella frequenza degli attacchi, nella sofisticazione degli attacchi, nonché nell'intensità degli attacchi", afferma Vasu Jakkal, vicepresidente capo della sicurezza di Microsoft. "E non c'è molto tempo perché un difensore contenga l'escalation di un attacco. L'equilibrio in questo momento è spostato in direzione degli attaccanti."

Lauren Goode

Lauren Goode

Giuliano Chokkattu

Will Cavaliere

Jakkal afferma che, sebbene gli strumenti di sicurezza del machine learning siano stati efficaci in domini specifici, come il monitoraggio della posta elettronica o dell'attività sui singoli dispositivi, noto come sicurezza degli endpoint, Security Copilot riunisce tutti questi flussi separati ed estrapola un quadro più ampio. "Con Security Copilot puoi cogliere ciò che gli altri potrebbero aver perso perché forma quel tessuto connettivo", afferma.

Security Copilot è in gran parte basato su ChatGPT-4 di OpenAI, ma Microsoft sottolinea che integra anche un modello proprietario specifico per la sicurezza Microsoft. Il sistema tiene traccia di tutto ciò che viene fatto durante un'indagine. Il record risultante può essere controllato e i materiali prodotti per la distribuzione possono essere tutti modificati per garantire accuratezza e chiarezza. Se qualcosa che Copilot suggerisce durante un'indagine è sbagliato o irrilevante, gli utenti possono fare clic sul pulsante "Fuori target" per addestrare ulteriormente il sistema.

La piattaforma offre controlli di accesso in modo che alcuni colleghi possano essere condivisi su progetti particolari e non su altri, il che è particolarmente importante per indagare su possibili minacce interne. E Security Copilot consente una sorta di backstop per il monitoraggio 24 ore su 24, 7 giorni su 7. In questo modo, anche se qualcuno con competenze specifiche non lavora in un determinato turno o in un determinato giorno, il sistema può offrire analisi di base e suggerimenti per aiutare a colmare le lacune. Ad esempio, se un team desidera analizzare rapidamente uno script o un codice binario del software che potrebbe essere dannoso, Security Copilot può avviare il lavoro e contestualizzare il comportamento del software e quali potrebbero essere i suoi obiettivi.

Microsoft sottolinea che i dati dei clienti non vengono condivisi con altri e "non vengono utilizzati per addestrare o arricchire i modelli di intelligenza artificiale di base". Microsoft è orgogliosa, tuttavia, di utilizzare "65 trilioni di segnali giornalieri" provenienti dalla sua massiccia base di clienti in tutto il mondo per informare i suoi prodotti di rilevamento e difesa dalle minacce. Ma Jakkal e il suo collega Chang Kawaguchi, vicepresidente di Microsoft e architetto della sicurezza AI, sottolineano che Security Copilot è soggetto alle stesse restrizioni e normative sulla condivisione dei dati di qualsiasi prodotto di sicurezza con cui si integra. Pertanto, se utilizzi già Microsoft Sentinel o Defender, Security Copilot deve rispettare le politiche sulla privacy di tali servizi.