本文作者丨七里香
北京时间3月28日23:30,微软安全开启全球直播,重磅推出Microsoft Security Copilot——正式宣布将GPT-4引入网络安全。
据微软称,Security Copilot将不断学习和改进,提供对最先进的OpenAI模型的持续访问,以支持要求苛刻的安全任务和应用程序。
同时,Security Copilot是全球首款真正意义上的AI安全产品,借助微软庞大的全球威胁情报和每天数十万亿个信源提供的信息,以快速检测、响应来帮助企业更好地应对当下日益严峻的网络安全形势。Security Copilot 还提供企业级安全和隐私合规体验,因为它在 Microsoft Azure 的超大规模基础设施上运行。
值得注意的是,微软在一开始就着重强调,Security Copilot的出现并非取代安全人员的工作,而是要辅助安全分析师更高效地输出价值。例如安全专业人士可以使用 Security Copilot 来进行事件调查或快速总结事件并帮助进行报告。
正如微软副总裁Vasu Jakkal所说的那样,“安全始终以人为本,这就是Microsoft Secure的安全意义所在”。为了加强协作,Security Copilot还带有一个便签板功能,让同事可以共享信息。
但是对于网络安全行业来说,Security Copilot推出所带来的影响不亚于一次地震。长久以来,网安行业一直在进行着一场不对称的战斗,资源有限的安全人员一直在于资源无限的攻击者斗智斗勇。
因此,网安一直有一个梦想:引入AI来增强防御能力,如今这个梦想竟然真的就实现了。AI不仅是网络攻击者手中的利器,也可以成为安全防御者手中的坚盾。
某种程度上来说,Security Copilot的出现也将拉开全球网络安全行业颠覆的序幕。如同现代安全颠覆传统安全,以云和AI为核心的网络安全体系也将带来一次新的颠覆,再加上超大规模的威胁情报和信号,未来安全的发展更让人们期待,也必将产生更多的机遇。
在微软安全的网页展示中,我们可以看到Security Copilot的强大。用户可以向 Security Copilot 询问特定时间段内的可疑用户登录情况;甚至可以使用它来创建概述事件及其攻击链的 PowerPoint 演示文稿;还可以接受文件、URL 和代码片段进行分析。同时,Security Copilot还提供了可视化的工具,安全人员能够让机器人一键生成演示文件,展示安全威胁的路径。
Security Copilot的优势
Security Copilot继续沿用了类似ChatGPT的问答模式,用户只需自然语言向 Security Copilot 提问并获得可操作的回复,其核心技术是 OpenAI 的 GPT-4 生成式人工智能和微软自己的安全专用模型。它使安全团队能够更有效地管理复杂的安全情况,其主要目标是通过加快威胁情报汇总和解释来增强安全分析师的能力,使他们能够在分析网络流量时更快地发现恶意活动。
微软将Security Copilot的优势归纳为以下三类:
1、简化工作,提升效率
网络攻击的隐蔽性和复杂性是攻击者成功的秘诀之一,也是让企业安全人员无比头大的地方。Security Copilot 将通过总结和理解威胁情报来简化复杂性并增强安全团队的能力,帮助防御者看穿网络流量的噪音并识别恶意活动。Security Copilot将来自多个来源的数据综合为清晰、可操作的见解,并在几分钟而不是几小时或几天内响应事件,极大地缩短了安全事件响应时间。
2、提前发现网络安全威胁
AI的优势之一就是能够具备人类无法实现的超常规分析能力,仅仅依靠一些隐藏极深的攻击痕迹,就可以发现攻击者的信号,并提示网络安全人员及早处理。Security Copilot 具有Microsoft庞大的全球威胁情报,将通过关联威胁活动信号并在检查攻击数据时建立正确的连接来协助检测以前被忽视的威胁。它还将帮助安全团队通过关联和汇总攻击数据、确定事件的优先级并推荐最佳行动方案来及时及时补救各种威胁,从而发现其他人遗漏的信息。
3、缓解人才缺口问题
随着网络攻击日益频发,全球网络安全人才缺口已经达到了惊人的340万,行业人才匮乏大大制约了网络安全行业的发展。企业安全团队的能力也始终受到团队规模和人类注意力的限制。Security Copilot 能够回答从基本到复杂的安全相关问题,从而提高防御者的技能。Security Copilot 不断从用户交互中学习,适应企业偏好,并就最佳行动方案向防御者提供建议,以实现更安全的结果。
Security Copilot持续成长的能力
Security Copilot更强大的地方在于无限的成长能力,微软将其描述为“一套不断增长的特定安全技能”。它还集成了来自其他 Microsoft 安全工具(包括 Sentinel、Defender 和 Intune)的数据和见解,为每个组织提供自定义指导。
Security Copilot 将不断学习和改进,以帮助确保安全团队使用有关攻击者、他们的策略、技术和程序的最新知识进行操作。它对威胁的可见性由客户组织的安全数据和 Microsoft 庞大的威胁分析足迹提供支持。
有意思的是,当安全研究人员询问最新漏洞信息时,微软也会清楚地标明结果来源。微软使用了来自网络安全与基础设施安全局、国家标准与技术研究院的漏洞数据库以及微软自己的威胁情报数据库中的信息。
但这并不意味着微软的 Security Copilot 总是正确的。“我们知道有时候这些模型会出错,所以我们提供了确保我们有反馈的能力,”微软人工智能安全架构师 Chang Kawaguchi 说,反馈循环比 Bing 上的赞或踩要复杂得多。“因为它可能有很多种错误方式,”Kawaguchi 解释说。微软将让用户回答到底哪里出错了,以便更好地理解任何错误。