Le "Security Copilot" Sics ChatGPT de Microsoft sur les failles de sécurité

Jun 10, 2023

Lily Hay Newman

Depuis des années, "l'intelligence artificielle" est un mot à la mode dans l'industrie de la cybersécurité, promettant des outils qui détectent les comportements suspects sur un réseau, comprennent rapidement ce qui se passe et guident la réponse aux incidents en cas d'intrusion. Cependant, les services les plus crédibles et les plus utiles sont en réalité des algorithmes d'apprentissage automatique formés pour repérer les caractéristiques des logiciels malveillants et d'autres activités réseau douteuses. Aujourd'hui, alors que les outils d'IA générative prolifèrent, Microsoft affirme avoir enfin créé un service pour les défenseurs digne de tout le battage médiatique.

Il y a deux semaines, la société a lancé Microsoft 365 Copilot, qui s'appuie sur un partenariat avec OpenAI ainsi que sur les propres travaux de Microsoft sur de grands modèles de langage. La société déploie actuellement Security Copilot, une sorte de carnet de terrain de sécurité qui intègre les données système et la surveillance du réseau à partir d'outils de sécurité tels que Microsoft Sentinel et Defender et même de services tiers.

Security Copilot peut faire apparaître des alertes, tracer à la fois des mots et des graphiques sur ce qui peut se passer au sein d'un réseau et fournir des étapes pour une enquête potentielle. Lorsqu'un utilisateur humain travaille avec Copilot pour cartographier un éventuel incident de sécurité, la plate-forme suit l'historique et génère des résumés. Ainsi, si des collègues sont ajoutés au projet, ils peuvent rapidement se mettre au courant et voir ce qui a été fait jusqu'à présent. Le système produira également automatiquement des diapositives et d'autres outils de présentation sur une enquête pour aider les équipes de sécurité à communiquer les faits d'une situation à des personnes extérieures à leur service, et en particulier aux cadres qui n'ont peut-être pas d'expérience en matière de sécurité mais qui doivent rester informés.

« Au cours des dernières années, ce que nous avons vu, c'est cette escalade absolue de la fréquence des attaques, de la sophistication des attaques, ainsi que de l'intensité des attaques », déclare Vasu Jakkal, vice-président en chef de la sécurité de Microsoft. "Et il n'y a pas beaucoup de temps pour qu'un défenseur contienne l'escalade d'une attaque. L'équilibre est en ce moment déplacé en direction des attaquants."

Lauren Goode

Lauren Goode

Julien Chokkattu

Chevalier

Jakkal dit que même si les outils de sécurité de l'apprentissage automatique ont été efficaces dans des domaines spécifiques, comme la surveillance des e-mails ou de l'activité sur des appareils individuels, connus sous le nom de sécurité des points de terminaison, Security Copilot rassemble tous ces flux distincts et extrapole une vue d'ensemble. "Avec Security Copilot, vous pouvez saisir ce que d'autres ont pu manquer car il forme ce tissu conjonctif", dit-elle.

Security Copilot est largement alimenté par ChatGPT-4 d'OpenAI, mais Microsoft souligne qu'il intègre également un modèle propriétaire spécifique à la sécurité de Microsoft. Le système suit tout ce qui est fait pendant une enquête. L'enregistrement qui en résulte peut être audité et les documents qu'il produit pour la distribution peuvent tous être modifiés pour plus de précision et de clarté. Si quelque chose que Copilot suggère au cours d'une enquête est erroné ou non pertinent, les utilisateurs peuvent cliquer sur le bouton "Hors cible" pour former davantage le système.

La plate-forme offre des contrôles d'accès afin que certains collègues puissent être partagés sur des projets particuliers et pas sur d'autres, ce qui est particulièrement important pour enquêter sur d'éventuelles menaces internes. Et Security Copilot permet une sorte de backstop pour une surveillance 24h/24 et 7j/7. De cette façon, même si quelqu'un avec un ensemble de compétences spécifiques ne travaille pas sur un quart de travail donné ou un jour donné, le système peut offrir une analyse de base et des suggestions pour aider à combler les lacunes. Par exemple, si une équipe souhaite analyser rapidement un script ou un logiciel binaire potentiellement malveillant, Security Copilot peut commencer ce travail et contextualiser le comportement du logiciel et ses objectifs.

Microsoft souligne que les données des clients ne sont pas partagées avec d'autres et ne sont "pas utilisées pour former ou enrichir les modèles d'IA de base". Cependant, Microsoft est fier d'utiliser "65 000 milliards de signaux quotidiens" de sa vaste base de clients dans le monde entier pour informer ses produits de détection des menaces et de défense. Mais Jakkal et son collègue, Chang Kawaguchi, vice-président de Microsoft et architecte de la sécurité de l'IA, soulignent que Security Copilot est soumis aux mêmes restrictions et réglementations en matière de partage de données que tous les produits de sécurité auxquels il s'intègre. Ainsi, si vous utilisez déjà Microsoft Sentinel ou Defender, Security Copilot doit respecter les politiques de confidentialité de ces services.

Kawaguchi dit que Security Copilot a été conçu pour être aussi flexible et ouvert que possible, et que les réactions des clients éclaireront les futurs ajouts et améliorations de fonctionnalités. L'utilité du système se résumera en fin de compte à la façon dont il peut être perspicace et précis sur le réseau de chaque client et les menaces auxquelles il est confronté. Mais Kawaguchi dit que le plus important est que les défenseurs commencent à bénéficier de l'IA générative le plus rapidement possible.

Comme il le dit : "Nous devons équiper les défenseurs d'IA étant donné que les attaquants vont l'utiliser quoi que nous fassions."