安全响应进入AI竞速时代！微软推出基于大模型的安全运营助手_重点聚焦

图：Microsoft Security Copilot使用界面截图

企业安全运营人员：“刚刚的告警是什么情况？”

(资料图片仅供参考)

Microsoft Security Copilot：“经分析，这是一起勒索软件入侵事件，攻击路径为…，相关IOC包括…，建议按照…进行处置。”

经过数小时奋战的传统安全分析师：……

前情回顾·科技巨头的网络安全战略

微软安全去年营收超1300亿元，但霸主地位背后争议难解

微软如何成就网络安全霸主：威胁情报发家史

企业打补丁不再是难题！微软推出补丁更新自动部署服务

谷歌、苹果与微软联手用“万能密钥”杀死密码

安全内参3月29日消息，在为Office套件提供AI驱动的Copilot助手后，微软又将注意力转向网络安全领域，宣布推出基于GPT-4与自有安全模型的生成式AI解决方案——Microsoft Security Copilot。

Security Copilot是网络安全专业人员的新助手，能够帮助防御方发现漏洞、更好地理解日常出现的大量信号与数据。

Security Copilot的外观是一个简单的提示框，与其他聊天机器人别无二致。您可以直接提问“我的企业有哪些安全事件？”，Security Copilot将做出总结。在后端，它利用微软通过威胁情报和专用安全技能日常收集到的65万亿个信号，帮助安全人士追踪网络威胁。

图：Security Copilot能为安全人士执行分析

赋能提效协作样样能干

Microsoft Security Copilot的目标是协助安全分析师工作，而非直接取代，其中还包含供同事协作和信息共享的记事板功能。安全人士可以在Security Copilot的帮助下开展事件调查、快速总结事件经过、高效整理事件报告。

Security Copilot支持自然语言输入，安全人员可以要求其为特定漏洞生成摘要，并向其“投喂”文件、网址或代码片段以供分析，甚至要求它提供来自其他安全工具的事件和警报信息。所有提示和响应内容均被保存，以供调查人员进行完整的审计跟踪。

微软AI安全架构师Chang Kawaguchi接受采访时表示，结果可以被固定并汇总至共享工作区当中，这样同事们就能在同一背景下开展威胁分析和调查，“这就像为调查人员提供单独的工作区和共享笔记本，帮大家发布自己的当前工作内容。”

图：Security Copilot可以接收文件、URL及代码片段以供分析

Security Copilot最有趣的功能之一是提示簿。其本质是一组步骤或自动化操作，人们可以将其绑定到单一按钮或提示当中。比如说，安全研究人员可以通过一条共享提示对脚本做逆向工程，这样就不必坐等团队中的其他成员完成这类分析。我们甚至可以使用Security Copilot为安全事件和攻击向量创建PowerPoint幻灯片。

与Bing类似，当安全研究人员询问关于最新漏洞的信息时，Security Copilot能给出非常清晰的结果。微软引用的安全信息包括美国网络安全和基础设施安全局（CISA）、国家标准与技术研究所（NIST）的漏洞数据库，以及微软自己的威胁情报数据库。

为模型“幻觉”难题提供改进方案

当然，想要把一切安全工作都推给Microsoft Security Copilot还不现实。Kawaguchi坦言，“我们知道这些模型有时会出错，所以我们设置了反馈提交功能。”但这里的反馈循环要比在Bing上点赞或点踩复杂得多。“这边的情况要更复杂一点，毕竟安全模型出错的方式有很多。”微软会要求用户确切描述问题所在，以便更好地理解模型出现“幻觉”的情况。

Kawaguchi解释道，“我认为没人‍能保证模型不出任何「幻觉」，我们会努力通过公开来源、反馈提交和基于用户背景的数据等方式，确保人们能够理解和验证AI模型给出的数据。对于其中一些用例，问题可能没有唯一的正确答案，所以提供概率性回答对于组织和个人的调查工作可能更为有利。”

虽然微软的Security Copilot拥有类似于Bing的提示和聊天机器人界面，但却被严格限定为只能接受安全相关查询。用户无法在这里获取最新天气信息，也无法询问Security Copilot它最喜欢哪种颜色。Kawaguchi强调，“它不是Bing，它的工作也不是提供聊天体验。我认为它用起来更像是一种智能记事本，跟那些能自由对话的通用型聊天机器人有所不同。”

从今天起，微软已经开始向“少数客户”开放Security Copilot预览，但还没有公布产品全面上市的具体日期。Kawaguchi指出，“我们还没有讨论过全面上市的具体时间，这主要取决于模型的学习和负责任学习的情况。所以我们认为最好先将它交付给一小群人，在过程中逐渐学习并发展成熟，待合适时再以负责任的方式推向市场。”

生成式AI越来越多用于网络防御

自2022年11月ChatGPT-3发布以来，生成式AI的防御用例就在企业安全市场中保持着快速增长。

例如，开源安全供应商Armo就发布了ChatGPT集成，旨在通过自然语言为Kubernetes集群构建自定义安全控制。

同样，云安全供应商Orca Security也发布了自己的ChatGPT扩展，能够处理解决方案生成的安全警报，并为用户提供分步修复说明以管理数据泄露事件。

最新发布的Microsoft Security Copilot表明，生成式AI在企业安全领域的应用正在加速。各大厂商都希望帮助客户建立起自动化的安全运营中心（SOC），借此对抗同样变化迅猛的网络威胁态势。

Kawaguchi总结道，“攻击数量正不断增加，但防御方的力量却分散在多种工具和技术当中。我们认为Security Copilot有望改变其运作方式，提高安全工具和技术的实际成效。”

参考资料：theverge.com

标签：