[ זמן קריאה משוער; 13 דקות. ]

אבטחה בענן, בסביבה מולטי-עננית, ובפרט, בסביבה היברידית הוא אתגר אבטחה עצום שלעיתים רבות נשאר עם חשיפות קריטיות, עם פערי אבטחה רבים, עם מיסקונפיגורציות וללא הגנה, ולעיתים גם ללא בקרה מפצה. בנוסף, הדבר משפיע גם על ניתוח, תחקור וטיפול בתקריות ואירועי אבטחה בענן. האם בינה מלאכותית יכולה לשנות את המאזן או אפילו לשפר במקצת? בינה מלאכותית גנרטיבית שהגיחה למיינסטרים בשנת 2023 הביאה איתה הבטחות לתחום אבטחת המידע והסייבר, והיא היכולת לסייע לצוותי אבטחה לשפר את האבטחה בענן, לתחקר תקריות אבטחה, להוריד את עומסי העבודה ושלל הבטחות נוספות. האם כך הדבר?

המאמר הנוכחי מתמקד ב Microsoft Copilot for Security: שיפור האבטחה בענן והינו חלק מסדרת מאמרים על היכולות, האפשרויות  ואיך עובדים עם הכלי ביומיום.

המאמר נכתב בהקשרי אבטחת מידע וסייבר, והשיוך לכלי האבטחה של Microsoft Copilot for Security ולא Copilot אחרים. בנוסף לכך, המאמר נכתב אחרי בדיקה של למעלה מעשרה כלי בינה מלאכותית גנרטיבית לאבטחת מידע וסייבר שנוגעים בניתוח, תחקור, תגובה ושיוך למערכות SIEM.

ישנם אינספור שאלות וסוגיות כאשר משלבים בינה מלאכותית גנרטיבית יחד עם אבטחת מידע וסייבר. החל מאפשרויות כלליות ויכולות, דרך רמת הדיוק ועד דרך הבנה האם ההנחיות מדויקות ואפשר לסמוך עליהם.

ביום רביעי, בתאריך 17 באפריל, ייערך מיטאפ דיגיטלי ובו אדבר ואדגים על היכולות, אפשרויות ואיך אפשר להתחיל לעבוד עם Microsoft Copilot for Security. מוזמנים.ות להירשם בקישור הבא From Posture Management to Threat Detection: Microsoft Copilot for Security.

קבוצת ווצאפ של שאלות, דיונים ונושאי Microsoft Security – קישור להצטרפות MSFT.SEC.ADVOCATE.

בינה מלאכותית גנרטיבית וסייבר

בינה מלאכותית גנרטיבית, המוכר גם בשם Generatie AI או ממש בקצרה GenAI, הוא ענף של בינה מלאכותית המתמקד בניתוח ויצירת נתונים חדשים על סמך נתונים קיימים. הטכנולוגיה מנגישה ומספקת מגוון מקרי שימוש, בין היתר, אחזור וניתוח נתונים, יצירת תוכן, הנחיות וכן סיכום – הפעולות הנ״ל מתבצעות על פני מספר הולך וגדל של מערכות ויישומים.

במערכות אבטחה מבוססי בינה מלאכותית גנרטיבית המערכות והאפליקציות נראות Plugins.

בינה מלאכותית גנרטיבית מגיעה מתת-קבוצה של בינה מלאכותית המכונה למידת מכונה (ML). אותה למידה מכונה כוללת שימוש באלגוריתמים המשתפרים באופן אוטומטי על ידי לימוד דפוסים מגוונים מכמויות עצומות של נתונים. בין התחומים השונים של ML יש למידה עמוקה, המשתמשת באלגוריתמים מרובדים (הנקראים רשתות עצביות) ואלה מחקות את אופן הפעולות הספציפיות. זה מאפשר למערכות ללמוד ולקבל החלטות באופן אוטונומי.

בתוך למידה עמוקה, ישנו סוג של ״עיצוב רשת עצבית״ הנקרא transformer (וחלק מתוך Transformer models). המודל משתמש בשכבות של נוירונים מלאכותיים המנתחים נתוני קלט במקביל, מה שהופך את התהליך ליעיל בצורה חזקה. אחד הדגמים הידועים מבין הדגמים הללו הוא GPT (או בשמו הארוך Generative Pre-Trained Transformer). מודלים אלה מאומנים מראש על כמויות גדולות של נתונים ויכולים ליצור טקסט דמוי אנושי.

במילים אחרות, בינה מלאכותית גנרטיבית כוללת בין היתר את השלבים הבאים:

• המודל מתחיל להתאמן על מערכי נתונים גדולים מאוד.
• המודל לומד ומבין את הדפוסים והמבנים הבסיסיים בנתונים.
• התהליך והיצירה מאפשר יצירת נתונים חדשים המחקים את הדפוסים והמבנים הנלמדים.

טיפ: ככל שמבצעים פרומפטים מנחים ומדויקים יותר כך אפשר לקבל תוצאות אמינות יותר, כלומר, אנו צריכים להכיר את הנושא שאנו שואלים לגביו (ברמת עומק/רוחב), לדעת מה לשאול, איך לשאול, להבין מה מתקבל, לזקק את התשובות, לתקן במידת הצורך, וכאשר מקבלים את התשובה הסופית צריך לוודא שהיא תקינה ואמינה. אחרת, אנו נקבל מידע שאינו אמין ונמשיך איתו בתהליך (ניתוח, סגירת אירוע וכו) ללא הידיעה שאנו עלולים לטעות.

לבינה מלאכותית גנרטיבית יש גם מערכות ויישומים בהקשר של אבטחת מידע וסייבר, החל מסיוע לאנליסטים, למתחקרים או ״ציידי איומים״ ולצוותי אבטחת מידע באשר הם. הקשרים אלה מתרחשים בניתוח ואחזור נתונים עבור פעולות מתמשכות (למשל, חקירה) ועד למצב שבו צריך לספק תובנות בזמן אמת שיכולות בין היתר להתריע על חשיפות, פערי אבטחה, איומים וסיכונים.

הפוטנציאל וההשפעה של בינה מלאכותית גנרטיבית בתחום אבטחת הסייבר הוא עצום מאוד ויכול לשנות את כללי המשחק בעתיד. בינה מלאכותית גנרטיבית בתחום אבטחת הסייבר יכול ללמוד ולשכפל דפוסים טקסטואליים, יכול ללמוד דפוסים שנמצאים בסיכוני ואיומי סייבר, פגיעויות או ללמוד את התיעוד של כלי אבטחה כדי לאפשר לאנליסטים ולמתחקרים לבצע שאילתות בכלי האבטחה במהירות המירבית.

מודלים של בינה מלאכותית גנרטיבית מאומנים על כמויות עצומות של נתוני אבטחה (ישנים וחדשים) ולכן יכולים לזהות דפוסים, טרנדים ומגמות, וכתוצאה מכך יש להם גם את היכולת לחזות איומים עתידיים. כלומר, במקום להגיב לאיומים בזמן שהם מתרחשים, ניתן למנף בינה מלאכותית גנרטיבית כדי לצפות/לחזות איומים רגע לפני שהם מתממשים ובכך למקסם את הערך של כלי האבטחה הקיימים.

אלה יחדיו מאפשרים לאמץ גישה פרואקטיבית – מצרך אבטחה חשוב בימינו.

אומנם הקדמה קצרה מאוד על בינה מלאכותית גנרטיבית, אבל כדאי להבין את ההקשרים לאבטחת מידע וסייבר. אלה יכולים לפשט את ההבנה, לפחות באופן כללי.

יתרונות וחסרונות של בינה גנרטיבית וסייבר

כאמור, בינה מלאכותית גנרטיבית באבטחת מידע וסייבר מביאה יתרונות וחסרונות כמו כל כלי אחר, אך עדיין מציעה פתרונות רבים לאתגרים העומדים בפני צוותי אבטחה. מה היתרונות יכולים להיות? בין היתר.

יעילות: עם בינה מלאכותית גנרטיבית, זיהוי ותגובה של איומי סייבר יכולים להיות יעילים יותר. מכיוון שמערכת בינה מלאכותית לומדת כיצד לבצע משימות מסוימות, בין אם משימות שחוזרות על עצמן או משימות אחרות, היא יכולה לעזור לאנליסטים, למתחקרים ״וציידי אבטחה״ לנצל מידע שהם צריכים בכדי לקבל החלטות במהירות רבה יותר. זה בתורו, יכול להאיץ תהליכי עבודה של אנליסטים/מתחקרים, להוריד מהם את ״הפעולות הקטנות״ ולשחרר אותם לטיפול במשימות מעניינות יותר, ובכך מרחיב את התפוקה של הצוות.

ניתוח מעמיק: בינה מלאכותית גנרטיבית יכולה לאפשר לצוותי אבטחה לנתח נתונים ממקורות או מודלים שונים, מה שמאפשר לצוותי אבטחה לבצע ניתוח נתונים מייגע ועתיר זמן, במהירות ובדייקנות, ובפרט, במינימום פעולות. בנוסף, יכול ליצור סיכומים בשפות טבעיות (natural language) של תקריות אירועי אבטחה והערכות מצב, ושוב, להאיץ את תפוקת הצוות.

זיהוי איומים פרואקטיבי: היתרון המשמעותי ביותר של בינה מלאכותית גנרטיבית הוא המעבר מאבטחת סייבר ריאקטיבית (תגובתית) לאבטחת סייבר פרואקטיבית. על ידי התראה לצוותים על תקריות ואיומים פוטנציאליים בהתבסס על דפוסים נלמדים, וכן האפשרות לבצע פעולות מנע לפני שמתרחשת הפרה או תקרית.

למרות שהשימוש בבינה מלאכותית גנרטיבית משכנע, חשוב לקחת בחשבון את האתגרים הנלווים אליו. כמו כל טכנולוגיה, יש לגשת לשימוש בה באחריות כדי להפחית סיכונים ופוטנציאל שימוש לרעה – שימוש לא נכון אינו מביא תועלות נדרשות ויכול יגרום לעומס בצוות.

משאבים: אימון מודלים דורש כוח חישוב ואחסון משמעותיים. עבור ארגונים קטנים, זה יכול להיות לימיטציה. העניין הוא שיצרני אבטחה מכניסים את המודלים והאפשרויות לתוך כלי האבטחה, ולכן, המשאבים לא בהכרח נדרשים באופן ישיר בכל כלי או מערכת ויגיעו בצורה מובנית בכלי האבטחה. לרוב האימוץ יהיה על סביבות ענניות.

סיכון מצד קבוצות תקיפה: מודלים וכלים הופכים נגישים יותר ויותר באמצעות קוד פתוח, לעיתים זול ומבוסס על סביבות ענניות. בדיוק כפי שארגונים יכולים למנף את הבינה לאבטחת מידע וסייבר, כך גם קבוצות תקיפה. תוקפים יכולים להשתמש בבינה כדי לפתח תקיפות מתוחכמות שמיומנות להתחמק מאמצעי הגנה ובקרות שונות.

שיקולים אתיים: סוגיות רבות מעלות שאלות אתיות לגבי פרטיות ושליטה בנתונים, במיוחד בנוגע לסוג הנתונים המשמשים מודלים של בינה מלאכותית במערך נתונים של אימון.

לצד היתרונות, החסרונות של בינה מלאכותית גנרטיבית באבטחת מידע וסייבר יכולים להשפיע על הפרואקטיביות שאנו מחפשים ועל תוצאות. איך זה בא לידי ביטוי?

צוותי סייבר חזקים: כלי בינה מלאכותית גנרטיבית בעיקר כאלה שעובדים עם סייענים מובנים עדיין דורשים שבצד השני יהיה צוות חזק שיידע לוודא שהמידע והפלט הינו נכון והכלי אינו מטעה.

השלכות של מידע לא מדויק: כאשר בינה מלאכותית גנרטיבית מספקת תוצאות שאינן מדוייקות ואינן נכונות זה עלול להוביל לחקירה לא נכונה ועל ידי כך ליצור תמונה ודיווח לא מהימן.

כישורים נדרשים: כלי אבטחה המתבססים על בינה מלאכותית גנרטיבית עדיין דורשים מאנליסט הקצה להיות עם הבנה רוחבית ועמוקה, ולכן, אנליסטים TIER 1/2 עלולים לזכות, לטהר או להשחיר מערכת על סמך מידע שאינו מדויק, וזאת, בגלל ידע חסר שתחום הסייבר וידע חסר בהנחיות הכלי.

אינטגרציה: השילוב מול כלי אבטחה הוא חשוב מאוד ומצריך אינטגרציה נייטיב (Native Plugins), ולכן, אנו עלולים לקבל כלי בינה מלאכותית גנרטיבית שאינו עובד מול מערכות ויישומים רבים. כיום, זה המצב של רוב כלי האבטחה שמשלבים בינה מלאכותית גנרטיבית.

העשרת מידע והנחיות: בחירת כלי אבטחה המשלב בינה מלאכותית גנרטיבית יכול לבצע הנחיות, העשרות מידע ולעיתים אלה אינם מסייעים ביומיום ואף עלולים לגרום לעומס נוסף על צוותי אבטחה.

Copilot מקצה לקצה: כלי אבטחה משולב בינה מלאכותית גנרטיבית הוא כלי שצריך לבצע את הפעולות של זיהוי, חקירה וסגירת ההתראה באופן אוטומטי, ובנוסף לכך, לבצע אוטומציה בהתאם. בשטח, בודדים הכלים שמבצעים זאת (אם בכלל)!

אז אחרי סקירה קצרה אודות בינה מלאכותית גנרטיבית, יתרונות, חסרונות והמשמעויות של אבטחה מידע וסייבר, בואו נתקדם לדבר הבא והוא האפשרויות, היכולות וסקירה קצרה של Microsoft Copilot for Security.

מהו Microsoft Copilot for Security?

Microsoft Copilot for Security הוא כלי ניתוח אבטחה המופעל על ידי בינה מלאכותית גנרטיבית ומאפשר לאנליסטים, מתחקרים וצוותי אבטחה להגיב בצורה מהירה יותר להתראות, לאיומים, לעבד סיגנלים במהירות מירבית (ברמת מכונה) ולהעריך את החשיפה לסיכון תוך זמן קצר.

אחד העקרונות שבהם היינו רוצים לעמוד הוא מדדי אבטחה, כמו זיהוי, הבנה, הכלה ותגובה או כמו שמוכר לנו כמדדי Mean Time To X. כלי בינה מלאכותית גנרטיבית יכולים להביא אותנו למקומות כאלה, עם זאת, עדיין לא בצורה פשוטה.

Microsoft Copilot for Security הוכשר על מגוון מערכות ובסיסי נתונים, החל מנתונים של סוכנות האבטחה – CISA, מסד הנתונים של NIST, בסיסי הנתונים והמודיעין העצומים של מיקרוסופט ובסיסי נתונים נוספים.

Microsoft Copilot for Security  שואף לספק הגנה מקצה לקצה במהירות ובקנה מידה של למידת מכונה, הוא משלב LLMs עם מודל ספציפי לאבטחה (פיתוח ייעודי בתוך מיקרוסופט). כמו כן, הוא משלב מערך גדל והולך של מיומנויות אבטחה ומתבסס על מודיעין האיומים הגלובאלי שכולל יותר מ 70 טריליון סיגנלים ביום (וזה הולך וגדל). המערכת היא מערכת למידה סגורה שלומדת ללא הרף מהנעשה בשטח וכן ממשוב הצוותים שעובדים עימו, וזאת בכדי לשפר את הביצועים, התשובות ולהביא מידע מזוקק ומהימן יותר.

עדיין חשוב להדגיש כי למרות העוצמה שהוא מביא לכל סביבה, עדיין הוא לא תמיד יספק תוצאות מושלמות או כאלה שמצפים להם.

Microsoft Copilot for Security משתלב היטב עם כלי האבטחה של מיקרוסופט שמתוייגים בקטגוריות הבאות:

• Identity – המוכר כ Entra ID
• Security – המוכר כ Defender XDR
• Compliance – המוכר כ Purview
• מערכות וכלים נוספים

המערכת ממנפת את מלוא הכוח של OpenAI כדי ליצור תגובה להנחיות משתמש וזאת על ידי שימוש בתוספים ספציפיים לאבטחה, כולל מידע ספציפי לטובת הסביבה, מקורות בעלי סמכות ומודיעין איומים. על ידי שימוש בתוספים כמקורות נקודות נתונים, לצוותי האבטחה יש נראות רחבה יותר לאיומים, להשיג יותר הקשר ויש להם הזדמנות להרחיב את הפונקציונליות ביומיום.

מה לגבי כלי אבטחה צד שלישי? בטווח הבינוני/הרחוק, הוא יתרחב לתמיכה בפתרונות וכלי אבטחה צד שלישי. כיום כבר ניתן למנות אקוסיסט רחב.

מה לגבי פרטיות וכאלה? המערכת תוכננה עם פרטיות בבסיסה, מה שמבטיח שנתוני המשתמשים יישארו בשליטה ואינם משמשים להכשרת מודלים של ML אחרים.

יתרונות ויכולות של Copilot for Security

Microsoft Copilot for Security נועד לצוותי אבטחה באשר הם (אנליסטים, מתחקרים, ציידים), וזאת בכדי להעצים את ההגנה ולהבין מה קורה בסביבתם, ללמוד מתוך מידע מודיעיני, לקשר בין פעילות איומים ולקבל החלטות מושכלות ויעילות יותר.

יתרונות

אם כך, מהם היתרונות ש Microsoft Copilot for Security מביא לשולחן? ואיך צוותי אבטחה יכולים למנף את היתרונות ליומיום העמוס שלהם שגורם לשחיקה? בין היתר על ידי היתרונות הבאים:

ניצול ושימוש בנתונים – הפלטפורמה מתעדת את כל ההנחיות והתגובות. זה מספק תיעוד גלוי וניתן למעקב של חקירות לעיון וניתוח עתידיים. כל ההנחיות והתגובות שנוצרות על ידי הפלטפורמה נשמרות בתוך הארגון. נתוני המשתמשים ומודלי הבינה המלאכותית מוגנים על ידי "בקרות האבטחה״, ונתונים אישיים אינם משמשים כדי להכשיר או להעשיר מודלים של בינה מלאכותית בשימוש על ידי אחרים.

תמיכה בכלים – Microsoft Copilot for Security משלב תובנות ונתונים מכלי אבטחה של מיקרוסופט ומספק הדרכה מותאמת לסביבה. כמו כן, משולב רק עם כלים ותהליכי עבודה קיימים,למשל, Defender XDR, Microsoft Sentinel, Entra, Purview, Priva. בטווח הרחוק, יתרחב לכלי אבטחה צד שלישי.

• מספק תובנות קריטיות ויכול לסייע במצבי קצה של ״צעד אחד לפני התוקף.״
• מסייע בניתוח והגעה מהירה יותר לפתרון של בעיות ואתגרי אבטחה, ומספק תובנות מתקדמות.
• הפחתת פערי אבטחה – תכונה זו נועדה לפשט ניתוח כמויות עצומות של נתונים.
• שחיקה יומיומית – אחד הסיבות לאימוץ מערכת כזאת היא להוריד את עומסי העבודה במשימות שחוזרות על עצמן ולספק המלצות הקשריות, ולהתמקד בקבלת החלטות ובחקירה טובה יותר.

הערה חשובה: בינה מלאכותית גנרטיבית מביאה ערך אך רק על ידי שימוש נכון, ללא שימוש נכון אנו יכולים לגרום לתוצאה הפוכה!

מה מייחד אתCopilot for Security מעוד צאטבוט מבוסס בינה מלאכותית? – Copilot for Security משלב את גרסת/דגם GPT4 של OpenAI עם המודל הספציפי לאבטחה שפותח על ידי מיקרוסופט. Microsoft Copilot for Security עדיין יכול לעשות טעויות מכיוון שהוא תוכן שנוצר על ידי בינה מלאכותית. אבל זו "מערכת למידה בלולאה סגורה", כלומר היא לומדת ללא הרף מהמשתמשים, ונותנת למשתמשים את ההזדמנות לתת משוב מפורש.

איך משתמשים ב Microsoft Copilot for Security? – כדי להתחיל להשתמש ב Microsoft Copilot for Security, תחילה צריך להיות עם רישוי לאחד מכלי האבטחה של Microsoft כגון Microsoft Sentinel, Microsoft Defender ואפילו Microsoft Intune. ברגע שיש את זה, ניתן להיכנס לחשבון ולהפעיל את Microsoft Copilot for Security (עדיין בתוכנית סגורה).

פתרונות אבטחה של מיקרוסופט כגון Microsoft Defender XDR, Microsoft Sentinel, Microsoft Intune משתלבים בצורה חלקה עם Microsoft Copilot for Security, וישנן מספר חוויות הזמינות בפתרונות האבטחה המספקים גישה ל Microsoft Copilot for Security ויכולות הנחיה בהקשר.

גישה למודיעין – ל Microsoft Copilot for Security יש גם גישה למודיעין איומים ותוכן סמכותי באמצעות תוספים. תוספים אלה יכולים לחפש במאמרים ופרופילי אינטל של Microsoft Defender Threat Intelligence, דוחות לניתוח איומים ופרסומים על חשיפת פגיעות.

אפשרויות ויכולות

Microsoft Security Copilot כולל יכולות מגונוות, בין היתר, Prompt Book. היכולת מספקת אוסף של הנחיות ומספק פרטים נוספים על תקרית/אירוע. לדוגמה, מספק פרטים על מכונה מותקפת, כיצד היא הותקפה, נותן אינדקיציות באמצעות גרף תקריות מקצה לקצה ומראה את הסטורי של הפעולות שבוצעו.

בנוסף זה יכול לבצע הנדסה לאחור של סקריפטים מגוונים. לדוגמה, זה יכול להנדס לאחור סקריפט שהורידה את התוכנה הנגועה או גרמה לאיום אבטחה, תוך הסבר שלב אחר שלב כיצד זה קרה.

בשורת ההנחיות, אפשר לשאול, למשל, מה הם התקריות בארגון?, להזין קובץ, כתובת URL, או קטע קוד ולבקש אירועים או התראות מכלי אבטחה אחרים (שאלה יהיו זמינים). לאחר מכן, יפיק תגובה על סמך מה שהוא המידע שנמצא.

כאשר נוחתים בממשק אפשר להבין את היכולות והמיקוד של Microsoft Copilot for Security:

תגובה לאירוע – מסכם במהירות מידע על אירוע עם הקשר ממקורות נתונים, הערכת השפעתו והנחיית אנליסטים כיצד לנקוט בצעדי תיקון עם הצעות מודרכות.

נוף האבטחה – מספק מידע על אירועים שעלולים לגרום לחשיפה (כרגע לאיומים מוכרים). האנליסטים מקבלים הנחיות מקדימות כיצד להגן מפני אותן נקודות תורפה פוטנציאליות.

דיווחי אבטחה – מפיק סיכומי מנהלים או דוחות מוכנים לשיתוף על חקירות אבטחה, פרצות שנחשפו בפומבי או גורמי איומים וקמפיינים.

חשוב להדגיש כי ישנם אפשרויות נוספות של שילוב עם שטח תקיפה חיצוני מול Defender EASM, שיוך מול הקונטקסט העסקי ועוד.

בשורת ההנחיות, אפשר להעלות שאלה, למשל, מה תקריות נפוצות בארגון? או, להזין קובץ עם כתובת URL או קטע קוד ומשם לבקש מידע על אירועים או התראות מכלי אבטחה. לאחר מכן יפיק תגובה על סמך מה המידע.

התמונות/צילומי מסך המובאות במאמר זה הן מתוך סביבת מעבדה (ואינם נלקחו מסביבת ייצור), וכן אושרו ע״י מיקרוסופט. הכלי עדיין בתוכנית פרטית, ולכן לא זמינה לציבור הרחב.

לתחקר בצורה מהירה

תגובה ותחקור לתקריות, הפרות ואירועי אבטחה הוא דבר בפני עצמו, בפרט בענן! עדיין אין לזה פתרון הולם בגלל תריסרים רבים של סיבות, ולכן זה יוצר פערים עצומים בתחקור ותגובה לתקריות. עדיין, האם אפשר לתחקר בצורה מהירה? והאם, Microsoft Copilot for Security יכול לסגור פערים כאלה? אין ספק, אתגר פסיכי.

החלק שמסייע לתחקור תקריות הוא – Copilot for Security Response.

היכולת של Copilot for Security Response לוקחת אותנו למסע מעניין, כלומר, זה יכול לסכם את מודיעין האיומים, ניתוח לוגים ותיעוד, חילוץ ממצאים והדמיה – אלה מספקים גרף תקריות המראה כיצד התרחשה תקיפה מבחינה ויזואלית.

בדוגמה שלפנינו קיבלנו סיכום והאפשרות לאשר או להגיב בצורה ספציפית לפי הממצאים הבאים:

• פגיעות Log4j
• חשיפה ותגובה
• ניצול והשפעה
• המלצות

בממשק אנו מתבקשים לאשר את דיוק התגובה או לדווח על כך שהיא מחוץ למטרה/אינה שייכת. בנוסף, שיוך למקורות מידע מוזכרים בתחתית הסיכום, כולל Microsoft Defender Threat Intelligence, NIST ו MITRE.

יתרון: העשרה רבה. חסרון: אנו צריכים לשייך, לדייק ולתרגט את הממצא בכדי להגיב.

ניתן להצמיד ולשייך תגובות לבקרה חוזרת או ניתן לשתף בכל זמן.

בחלק השמאלי תמיד תהיה הודעה שתציין "התגובות המוצמדות יסוכמו בכדי שיהיה ניתן לגשת אליהם בכל עת." זה יאפשר להצמיד תגובות או מידע שאותם המערכת יכולה לסכם ולהנגיש בקלות לבקרה חוזרת או עיון עתידי. מתחת להודעה זו מופיע סיכום מפורט של הפגיעות, בדומה לסיכום הקודם.

בחלק הימני יש את ה Pinboard. החלק שמסייע לארגן ולגשת במהירות למידע חשוב או מידע שצריך אותו לעתים קרובות. במידע יכולים להיות אינדיקציות וממצאים מתוך הסיכום.

מתחת לתגיות יש סיכום נוסף, שהוא גרסה תמציתית של הסיכום, המייעצת לבצע מיטיגציה ספציפית ולנטר פעילות חשודה.

כאמור, בינה מלאכותית גנרטיבית יכולה לטעות ואפילו הוזה במקרים מסוימים. אז כאן, אנחנו יכולים לתת משוב על התגובה. רגע, מה קורה כאשר עולה מידע שאינו נכון/מדויק? במקרה כזה, החלק הנוסף יוצע אפשרויות לסווג את המשוב: לא מדויק, לא ברור ולא שלם.

במידה ונזין טקטס מסוים שאינו מדויק. זה יצביע על כך שאנו מדווחים על אי דיוק בתגובה, למשל, האירוע/הבעיה משויך לגרסת Windows 9… שהיא גרסה ידועה שאינה קיימת בפועל.

לצד זה, יש הצהרה מנחה: שהיא למעשה מציינת מה היה לא תקין בתגובה בכדי לשפר את Copilot. במקרה כזה המשוב מסייע בשיפור הדיוק והיעילות, תוך התאמת הסיוע שהוא מספק לצרכים הספציפיים ולהקשר של האירוע ובפרט הסביבה הארגונית.

איך נראות תגובות אמיתיות? תגובות אמיתיות של Copilot for Security הקשורות למקרי כופר שעירבו קבצים מצורפים של OneNote יספקו פרטים על האירוע ויספקו גרף חזותי תוך כדי תנועה עם האופן שבו התרחשה התקיפה. במקרה הזה נקבל לא מעט מידע, כמו, פרטי התקרית, ארטיפקטים, יישויות מושפעות, פעילות לא לגיטימית, תיוגים ועוד. המידע הנ״ל ועוד הרבה ממנו יוצגו בצורה ויזואלית.

כאמור, יכולות אבטחה של Microsoft Copilot for Security הן: ניתוח יומני לוגים ותיעוד, סיכום התראות, חילוץ נתונים ומידע, ויזואליזציה. בנוסף לכך, היכולת של Prompt Book (הנחיות) נמצאת שם ומעניקה אפםשרויות נוספות, כמו, סיוע באוטומציה של תגובה לתקריות ובעיות.

בנוסף לכך, Microsoft Copilot for Security מאפשר לבצע הנדסה לאחור של אותו סקריפט שגרם לניצול.

דוגמה נוספת שמציגה הנדסה לאחור של אותו סקריפט פוורשל הוא הפעולה שהורידה את האפליקציה הנגועה. מידע זה מוצג על גבי גרף תקריות.

לסיכום

לסיכום, Microsoft Copilot for Security הוא כלי אבטחה מובסס בינה מלאכותית גנרטיבית המשלב מודל GPT4 של OpenAI ועם המודל הספציפי לאבטחה שפותח על ידי מיקרוסופט. זה מאפשר לצוותי אבטחה להעריך את החשיפה לסיכונים תוך זמן קצר, לעבד כמויות של סיגנלים ולהגיב במהירות לאיומים. בנוסף, Microsoft Copilot for Security מסייע באוטומציה של משימות שחוזרות על עצמן ומספק המלצות הקשריות לאנליסטים, מפחית עומס עבודה ומפשט את תהליך ניתוח הנתונים והמידע.

דיונים ושאלות נוספות לגבי Copilot for Security בקבוצת MSFT.SEC.ADVOCATE

מאמרי Security AI בעברית

מאמרי בינה מלאכותית גנרטיבית בעברית

מאמרי GenAI & Cyber באתר Cyberdom

CISA ROADMAP FOR ARTIFICIAL INTELLIGENCE

AI RISK MANAGEMENT FRAMEWORK