安全響應進入AI競速時代!微軟推出基于大模型的安全運營助手
圖:Microsoft Security Copilot使用界面截圖
企業安全運營人員:“剛剛的告警是什么情況?”
Microsoft Security Copilot:“經分析,這是一起勒索軟件入侵事件,攻擊路徑為…,相關IOC包括…,建議按照…進行處置。”
經過數小時奮戰的傳統安全分析師:……
安全內參3月29日消息,在為Office套件提供AI驅動的Copilot助手后,微軟又將注意力轉向網絡安全領域,宣布推出基于GPT-4與自有安全模型的生成式AI解決方案——Microsoft Security Copilot。
Security Copilot是網絡安全專業人員的新助手,能夠幫助防御方發現漏洞、更好地理解日常出現的大量信號與數據。
Security Copilot的外觀是一個簡單的提示框,與其他聊天機器人別無二致。您可以直接提問“我的企業有哪些安全事件?”,Security Copilot將做出總結。在后端,它利用微軟通過威脅情報和專用安全技能日常收集到的65萬億個信號,幫助安全人士追蹤網絡威脅。
圖:Security Copilot能為安全人士執行分析
賦能提效協作樣樣能干
Microsoft Security Copilot的目標是協助安全分析師工作,而非直接取代,其中還包含供同事協作和信息共享的記事板功能。安全人士可以在Security Copilot的幫助下開展事件調查、快速總結事件經過、高效整理事件報告。
Security Copilot支持自然語言輸入,安全人員可以要求其為特定漏洞生成摘要,并向其“投喂”文件、網址或代碼片段以供分析,甚至要求它提供來自其他安全工具的事件和警報信息。所有提示和響應內容均被保存,以供調查人員進行完整的審計跟蹤。
微軟AI安全架構師Chang Kawaguchi接受采訪時表示,結果可以被固定并匯總至共享工作區當中,這樣同事們就能在同一背景下開展威脅分析和調查,“這就像為調查人員提供單獨的工作區和共享筆記本,幫大家發布自己的當前工作內容。”
圖:Security Copilot可以接收文件、URL及代碼片段以供分析
Security Copilot最有趣的功能之一是提示簿。其本質是一組步驟或自動化操作,人們可以將其綁定到單一按鈕或提示當中。比如說,安全研究人員可以通過一條共享提示對腳本做逆向工程,這樣就不必坐等團隊中的其他成員完成這類分析。我們甚至可以使用Security Copilot為安全事件和攻擊向量創建PowerPoint幻燈片。
與Bing類似,當安全研究人員詢問關于最新漏洞的信息時,Security Copilot能給出非常清晰的結果。微軟引用的安全信息包括美國網絡安全和基礎設施安全局(CISA)、國家標準與技術研究所(NIST)的漏洞數據庫,以及微軟自己的威脅情報數據庫。
為模型“幻覺”難題提供改進方案
當然,想要把一切安全工作都推給Microsoft Security Copilot還不現實。Kawaguchi坦言,“我們知道這些模型有時會出錯,所以我們設置了反饋提交功能。”但這里的反饋循環要比在Bing上點贊或點踩復雜得多。“這邊的情況要更復雜一點,畢竟安全模型出錯的方式有很多。”微軟會要求用戶確切描述問題所在,以便更好地理解模型出現“幻覺”的情況。
Kawaguchi解釋道,“我認為沒人?能保證模型不出任何「幻覺」,我們會努力通過公開來源、反饋提交和基于用戶背景的數據等方式,確保人們能夠理解和驗證AI模型給出的數據。對于其中一些用例,問題可能沒有唯一的正確答案,所以提供概率性回答對于組織和個人的調查工作可能更為有利。”
雖然微軟的Security Copilot擁有類似于Bing的提示和聊天機器人界面,但卻被嚴格限定為只能接受安全相關查詢。用戶無法在這里獲取最新天氣信息,也無法詢問Security Copilot它最喜歡哪種顏色。Kawaguchi強調,“它不是Bing,它的工作也不是提供聊天體驗。我認為它用起來更像是一種智能記事本,跟那些能自由對話的通用型聊天機器人有所不同。”
從今天起,微軟已經開始向“少數客戶”開放Security Copilot預覽,但還沒有公布產品全面上市的具體日期。Kawaguchi指出,“我們還沒有討論過全面上市的具體時間,這主要取決于模型的學習和負責任學習的情況。所以我們認為最好先將它交付給一小群人,在過程中逐漸學習并發展成熟,待合適時再以負責任的方式推向市場。”
生成式AI越來越多用于網絡防御
自2022年11月ChatGPT-3發布以來,生成式AI的防御用例就在企業安全市場中保持著快速增長。
例如,開源安全供應商Armo就發布了ChatGPT集成,旨在通過自然語言為Kubernetes集群構建自定義安全控制。
同樣,云安全供應商Orca Security也發布了自己的ChatGPT擴展,能夠處理解決方案生成的安全警報,并為用戶提供分步修復說明以管理數據泄露事件。
最新發布的Microsoft Security Copilot表明,生成式AI在企業安全領域的應用正在加速。各大廠商都希望幫助客戶建立起自動化的安全運營中心(SOC),借此對抗同樣變化迅猛的網絡威脅態勢。
Kawaguchi總結道,“攻擊數量正不斷增加,但防御方的力量卻分散在多種工具和技術當中。我們認為Security Copilot有望改變其運作方式,提高安全工具和技術的實際成效。”
