English
Français
Español
Italiano
Português
日本語
한국어
Русский
Microsofts „Security Copilot“ Sics ChatGPT zu Sicherheitsverletzungen
Jun 10, 2023Lily Hay Newman
„Künstliche Intelligenz“ ist seit Jahren ein heißes Schlagwort in der Cybersicherheitsbranche und verspricht Tools, die verdächtiges Verhalten in einem Netzwerk erkennen, schnell herausfinden, was vor sich geht, und bei einem Einbruch die Reaktion auf Vorfälle steuern. Die glaubwürdigsten und nützlichsten Dienste waren jedoch tatsächlich Algorithmen für maschinelles Lernen, die darauf trainiert wurden, Merkmale von Malware und anderen zweifelhaften Netzwerkaktivitäten zu erkennen. Jetzt, da sich generative KI-Tools immer weiter verbreiten, sagt Microsoft, dass es endlich einen Dienst für Verteidiger entwickelt hat, der allen Hype wert ist.
Vor zwei Wochen brachte das Unternehmen Microsoft 365 Copilot auf den Markt, das auf einer Partnerschaft mit OpenAI sowie auf Microsofts eigener Arbeit an großen Sprachmodellen aufbaut. Das Unternehmen bringt jetzt Security Copilot auf den Markt, eine Art Sicherheits-Feldnotizbuch, das Systemdaten und Netzwerküberwachung von Sicherheitstools wie Microsoft Sentinel und Defender und sogar Diensten von Drittanbietern integriert.
Security Copilot kann Warnungen anzeigen, in Worten und Diagrammen darstellen, was möglicherweise in einem Netzwerk vor sich geht, und Schritte für eine mögliche Untersuchung bereitstellen. Während ein menschlicher Benutzer mit Copilot zusammenarbeitet, um einen möglichen Sicherheitsvorfall zu kartieren, verfolgt die Plattform den Verlauf und erstellt Zusammenfassungen. Wenn also Kollegen zum Projekt hinzugefügt werden, können sie sich schnell auf den neuesten Stand bringen und sehen, was bisher getan wurde. Das System erstellt außerdem automatisch Folien und andere Präsentationstools zu einer Untersuchung, um Sicherheitsteams dabei zu helfen, die Fakten einer Situation an Personen außerhalb ihrer Abteilung weiterzugeben, insbesondere an Führungskräfte, die möglicherweise keine Sicherheitserfahrung haben, aber auf dem Laufenden bleiben müssen.
„Was wir in den letzten Jahren gesehen haben, ist eine absolute Eskalation der Häufigkeit von Angriffen, der Komplexität der Angriffe sowie der Intensität der Angriffe“, sagt Vasu Jakkal, Chief Vice President für Sicherheit bei Microsoft. „Und ein Verteidiger hat nicht viel Zeit, um die Eskalation eines Angriffs einzudämmen. Das Gleichgewicht verschiebt sich derzeit in Richtung der Angreifer.“
Lauren Goode
Lauren Goode
Julian Chokkattu
Will Knight
Jakkal sagt, dass sich Sicherheitstools für maschinelles Lernen zwar in bestimmten Bereichen als effektiv erwiesen haben, beispielsweise bei der Überwachung von E-Mails oder Aktivitäten auf einzelnen Geräten – bekannt als Endpunktsicherheit –, dass Security Copilot jedoch alle diese separaten Ströme zusammenführt und daraus ein Gesamtbild ableitet. „Mit Security Copilot können Sie erfassen, was andere möglicherweise übersehen haben, weil es dieses Bindegewebe bildet“, sagt sie.
Security Copilot basiert größtenteils auf ChatGPT-4 von OpenAI, Microsoft betont jedoch, dass es auch ein proprietäres sicherheitsspezifisches Microsoft-Modell integriert. Das System verfolgt alles, was während einer Untersuchung getan wird. Der resultierende Datensatz kann geprüft werden, und die zur Verteilung erstellten Materialien können im Hinblick auf Genauigkeit und Klarheit bearbeitet werden. Wenn etwas, das Copilot während einer Untersuchung vorschlägt, falsch oder irrelevant ist, können Benutzer auf die Schaltfläche „Off Target“ klicken, um das System weiter zu trainieren.
Die Plattform bietet Zugriffskontrollen, sodass bestimmte Kollegen an bestimmten Projekten teilhaben können und an anderen nicht, was besonders wichtig ist, um mögliche Insider-Bedrohungen zu untersuchen. Und Security Copilot ermöglicht eine Art Backstop für die Überwachung rund um die Uhr. Selbst wenn jemand mit bestimmten Fähigkeiten in einer bestimmten Schicht oder an einem bestimmten Tag nicht arbeitet, kann das System auf diese Weise grundlegende Analysen und Vorschläge anbieten, um Lücken zu schließen. Wenn ein Team beispielsweise schnell ein Skript oder eine Software-Binärdatei analysieren möchte, die möglicherweise bösartig ist, kann Security Copilot mit dieser Arbeit beginnen und das Verhalten der Software und ihre möglichen Ziele kontextualisieren.
Microsoft betont, dass Kundendaten nicht mit anderen geteilt und „nicht zum Trainieren oder Anreichern grundlegender KI-Modelle“ verwendet werden. Microsoft ist jedoch stolz darauf, „65 Billionen tägliche Signale“ von seinem riesigen Kundenstamm auf der ganzen Welt zu nutzen, um seine Produkte zur Bedrohungserkennung und -abwehr zu informieren. Jakkal und ihr Kollege Chang Kawaguchi, Vizepräsident und KI-Sicherheitsarchitekt von Microsoft, betonen jedoch, dass Security Copilot denselben Einschränkungen und Vorschriften für die Datenfreigabe unterliegt wie alle Sicherheitsprodukte, in die es integriert ist. Wenn Sie also bereits Microsoft Sentinel oder Defender verwenden, muss Security Copilot die Datenschutzrichtlinien dieser Dienste einhalten.
Kawaguchi sagt, dass Security Copilot so flexibel und ergebnisoffen wie möglich konzipiert wurde und dass die Reaktionen der Kunden in zukünftige Funktionserweiterungen und -verbesserungen einfließen werden. Der Nutzen des Systems hängt letztendlich davon ab, wie aufschlussreich und genau es über das Netzwerk jedes Kunden und die Bedrohungen ist, denen er ausgesetzt ist. Aber Kawaguchi sagt, das Wichtigste sei, dass die Verteidiger so schnell wie möglich von der generativen KI profitieren.
Er bringt es auf den Punkt: „Wir müssen die Verteidiger mit KI ausstatten, da die Angreifer sie unabhängig davon einsetzen werden, was wir tun.“