Sics ChatGPT de 'Security Copilot' de Microsoft sobre violaciones de seguridad

Jun 10, 2023

Lily Hay Newman

Durante años, la "inteligencia artificial" ha sido una palabra de moda en la industria de la seguridad cibernética, prometiendo herramientas que detectan comportamientos sospechosos en una red, descubren rápidamente qué está pasando y guían la respuesta a incidentes si hay una intrusión. Sin embargo, los servicios más creíbles y útiles han sido algoritmos de aprendizaje automático entrenados para detectar características de malware y otras actividades de red dudosas. Ahora, a medida que proliferan las herramientas de IA generativa, Microsoft dice que finalmente ha creado un servicio para los defensores que merece toda la atención.

Hace dos semanas, la empresa lanzó Microsoft 365 Copilot, que se basa en una asociación con OpenAI junto con el propio trabajo de Microsoft en modelos de lenguaje grandes. La compañía ahora está implementando Security Copilot, una especie de cuaderno de campo de seguridad que integra datos del sistema y monitoreo de red de herramientas de seguridad como Microsoft Sentinel y Defender e incluso servicios de terceros.

Security Copilot puede generar alertas, mapear en palabras y gráficos lo que puede estar sucediendo dentro de una red y proporcionar pasos para una posible investigación. Cuando un usuario humano trabaja con Copilot para mapear un posible incidente de seguridad, la plataforma realiza un seguimiento del historial y genera resúmenes, por lo que si se agregan colegas al proyecto, pueden ponerse al día rápidamente y ver lo que se ha hecho hasta el momento. El sistema también producirá automáticamente diapositivas y otras herramientas de presentación sobre una investigación para ayudar a los equipos de seguridad a comunicar los hechos de una situación a las personas fuera de su departamento, y en particular a los ejecutivos que pueden no tener experiencia en seguridad pero necesitan mantenerse informados.

“En los últimos años, lo que hemos visto es una escalada absoluta en la frecuencia de los ataques, en la sofisticación de los ataques, así como en la intensidad de los ataques”, dice Vasu Jakkal, vicepresidente jefe de seguridad de Microsoft. "Y no hay mucho tiempo para que un defensor contenga la escalada de un ataque. El equilibrio ahora está inclinado hacia los atacantes".

lauren goode

lauren goode

julian chokkattu

Will caballero

Jakkal dice que si bien las herramientas de seguridad de aprendizaje automático han sido efectivas en dominios específicos, como monitorear el correo electrónico o la actividad en dispositivos individuales, conocida como seguridad de punto final, Security Copilot reúne todos esos flujos separados y extrapola una imagen más grande. "Con Security Copilot puede captar lo que otros pueden haber pasado por alto porque forma ese tejido conectivo", dice ella.

Security Copilot funciona en gran medida con ChatGPT-4 de OpenAI, pero Microsoft enfatiza que también integra un modelo específico de seguridad patentado de Microsoft. El sistema rastrea todo lo que se hace durante una investigación. El registro resultante se puede auditar y los materiales que produce para su distribución se pueden editar para mayor precisión y claridad. Si algo que Copilot sugiere durante una investigación es incorrecto o irrelevante, los usuarios pueden hacer clic en el botón "Fuera del objetivo" para entrenar aún más el sistema.

La plataforma ofrece controles de acceso para que ciertos colegas puedan ser compartidos en proyectos particulares y no en otros, lo cual es especialmente importante para investigar posibles amenazas internas. Y Security Copilot permite una especie de respaldo para el monitoreo 24/7. De esa manera, incluso si alguien con un conjunto de habilidades específico no está trabajando en un turno determinado o en un día determinado, el sistema puede ofrecer análisis básicos y sugerencias para ayudar a cerrar las brechas. Por ejemplo, si un equipo quiere analizar rápidamente un script o un binario de software que puede ser malicioso, Security Copilot puede comenzar ese trabajo y contextualizar cómo se ha comportado el software y cuáles pueden ser sus objetivos.

Microsoft enfatiza que los datos de los clientes no se comparten con otros y "no se utilizan para entrenar o enriquecer los modelos básicos de IA". Sin embargo, Microsoft se enorgullece de usar "65 billones de señales diarias" de su enorme base de clientes en todo el mundo para informar sus productos de defensa y detección de amenazas. Pero Jakkal y su colega, Chang Kawaguchi, vicepresidente de Microsoft y arquitecto de seguridad de IA, enfatizan que Security Copilot está sujeto a las mismas restricciones y regulaciones de intercambio de datos que cualquiera de los productos de seguridad con los que se integra. Entonces, si ya usa Microsoft Sentinel o Defender, Security Copilot debe cumplir con las políticas de privacidad de esos servicios.

Kawaguchi dice que Security Copilot se ha creado para ser lo más flexible y abierto posible, y que las reacciones de los clientes informarán futuras mejoras y adiciones de funciones. En última instancia, la utilidad del sistema se reducirá a cuán perspicaz y preciso pueda ser sobre la red de cada cliente y las amenazas que enfrenta. Pero Kawaguchi dice que lo más importante es que los defensores comiencen a beneficiarse de la IA generativa lo más rápido posible.

Como él dice: "Necesitamos equipar a los defensores con IA dado que los atacantes la usarán independientemente de lo que hagamos".