Security

Microsoft Copilot for Security

Eine Revolution für Unternehmen und SOC-Analysen

Hannes Lagler-Grüner

Microsoft Copilot for Security ist eine KI-gestützte Lösung, die die Effizienz und Genauigkeit von Sicherheitsteams verbessert. Für Analyst:innen bietet es eine assistierende Copilot-Erfahrung, die bei End-to-End-Sicherheitsszenarien unterstützt und sich nahtlos in bestehende Microsoft-Sicherheitsprodukte integrieren lässt.

Der Copilot nutzt die neuesten Fortschritte in der AI-Technologie, um Sicherheitsanalysen zu automatisieren und zu beschleunigen, was letztlich zu verbesserten Sicherheitsergebnissen führt. Zusammengefasst ist es ein leistungsstarkes Werkzeug, das Sicherheitsteams dabei unterstützt, ihre Arbeit effizienter und effektiver zu gestalten.

 

Was ändert sich?

Die Sicherheitsbranche ist ein sich ständig weiterentwickelndes Feld, das andauernd nach neuen und effektiveren Methoden sucht, um die Sicherheit von Systemen und Daten zu gewährleisten. Als Microsoft am 1. April 2024 Microsoft Copilot for Security für den Markt freigab, hielt die künstliche Intelligenz Einzug in die Sicherheitsbranche. Der Einfluss ist signifikant – hier ein paar der wichtigsten Auswirkungen:

 

  • Produktivitätssteigerung: Studien zeigen, dass Sicherheitsexperten bei allen Aufgaben bis zu 22 Prozent schneller und neue Sicherheitsmitarbeiter bis zu 44 Prozent genauer sind.
  • Effizienzsteigerung: Microsoft Copilot for Security hilft Sicherheitsteams, ihre Effizienz zu steigern, indem es ihnen ermöglicht, innerhalb von Minuten statt Stunden oder Tagen auf Vorfälle zu reagieren.
  • Lern- und Karrierewachstum: Copilot unterstützt das Lernen und die berufliche Entwicklung von Sicherheitsteams. Es hilft Nachwuchsanalyst:innen beim Aufbau von Wissen und Fähigkeiten und spart gleichzeitig den leitenden Mitarbeitenden wertvolle Zeit.
  • Benutzerakzeptanz: Mehr als 93 Prozent der Benutzer:innen wollten Copilot erneut verwenden.
  • AI als Force Multiplier: Künstliche Intelligenz wird schnell zu einem Force Multiplier, der bedeutende Möglichkeiten für Sicherheitsteams bietet, die Produktivität zu steigern, Zeit zu sparen, Ressourcen aufzurüsten und mehr.

 

Insgesamt trägt Microsoft Copilot for Security dazu bei, die Sicherheitsbranche zu transformieren, indem es die Effizienz und Genauigkeit von Sicherheitsteams verbessert und gleichzeitig das Lernen und die berufliche Entwicklung fördert.

 

Wie kann ich AI Awareness schaffen?

Diese Frage ist leider nicht so einfach zu beantworten – dennoch gibt es ein paar Leitsätze, die hier einen Ansatz zeigen können, wie sich AI-Awareness schaffen lässt:

 

  1. Bildung und Schulung: Schulungen für Mitarbeiter:innen über die Grundlagen der KI und ihre Anwendung in der Sicherheitsbranche stellen ein essenzielles Fundament dar. Dabei werden sowohl theoretisches Wissen als auch praktische Anwendungen vermittelt.
  2. Workshops und Seminare: Ein wertvolles Mittel gegen Ängste oder Unsicherheit bietet die Durchführung von Workshops und Seminaren. Das trägt zusätzlich dazu bei, Akzeptanz aufzubauen und das Vertrauen in die Technologie zu stärken.
  3. Ressourcen zur Verfügung stellen: Wer sich in die Cloud begibt, steht oft vor der Herausforderung, wie man Know-how aufbauen kann. Ein wesentlicher Punkt hierbei ist die Bereitstellung von Ressourcen. Das ist bereits in der Grundarchitektur des Enterprise-Scale Framework verankert und findet sich in den Sandboxing Landing Zones wieder.
  4. Kontinuierliche Unterstützung: Es ist ebenso wichtig, dass Unternehmen kontinuierliche Unterstützung bieten, um sicherzustellen, dass Mitarbeiter:innen bei der Nutzung von KI in der Sicherheitsbranche erfolgreich sind.
  5. Förderung einer Kultur der Akzeptanz: Unternehmen sollten eine Kultur fördern, die die Akzeptanz und Nutzung von KI fördert.

 

Alles in allem muss grundlegende Akzeptanz und eine Hands-on-Experience geschaffen werden, um im weiteren Schritt die AI auch in interne Systeme einfließen zu lassen. Dieser Schritt ist essenziell und einer der wichtigsten auf der AI Journey.

 

Copilot for Security Standalone vs. Embedded?

In der Standalone Experience von Copilot for Security wird eine eigenständige Anwendung genutzt – Benutzer:innen greifen direkt auf die Copilot-Plattform zu, um Sicherheitsanalysen durchzuführen. Die Embedded-Version von Copilot for Security ist in den Microsoft-Produkten integriert. Das bedeutet, dass die Funktionen von Copilot direkt in folgenden Produkte genutzt werden können:

 

  • Microsoft Defender XDR
  • Microsoft Purview
  • Microsoft Sentinel
  • Microsoft Entra
  • Microsoft InTune
  • Microsoft Defender for Cloud

 

Diese Integration ermöglicht es Benutzer:innen, die Vorteile von Copilot zu nutzen, ohne die gewohnte Arbeitsumgebung verlassen zu müssen.

 

Wie funktioniert Copilot for Security?

Copilot for Security nutzt das fortschrittliche GPT4-Modell von OpenAI in Kombination mit einem speziellen Sicherheitsmodell, das von Microsoft entwickelt wurde. Dieses Modell wird durch die umfassende Sicherheitsexpertise und globale Bedrohungsintelligenz von Microsoft Security angetrieben. Durch die Integration von weiteren Microsoft Services und Third-party Services werden die Effektivität und Effizienz von Sicherheitsexperten erhöht.

Funktionen wie die Skriptanalyse ermöglichen es Kunden beispielsweise, Hunderte von Codezeilen zu analysieren und diese in natürlicher Sprache in Minuten zu interpretieren. Der Prozess ist grundsätzlich sehr einfach ausgelegt und basiert auf einigen Charakteristika (Abb. 1).

 

Die Grafik zeigt, wie Microsoft Copilot for Security einen Prompt analysiert und eine Antwort erstellt.

Abb. 1: Der Prozess für Copilot for Security [1]

 

  1. Einen Prompt in die Prompt Bar eingeben. Das ist die Interaktion des Mitarbeitenden mit dem Copilot.
  2. Der Copilot for Security sendet diese Information an das Backend. Hier wird auch die initiale Datenverarbeitung durchgeführt, die anschließend einen Plan aufgrund der verfügbaren Möglichkeiten (Skills) erstellt.
  3. Sobald ein Plan definiert und erstellt ist, führt Copilot diesen Plan aus, um den erforderlichen Datenkontext zum Beantworten des Prompts zu erhalten.
  4. Während der Ausführung des Plans analysiert Copilot alle Daten und Muster, um intelligente Erkenntnisse zu liefern.
  5. Copilot kombiniert alle Daten und Kontexte und nutzt die Leistungsfähigkeit seines erweiterten LLM (Large Language Model), um eine Antwort in verständlicher Sprache zu verfassen.
  6. Bevor die Antwort an Benutzer:innen zurückgesendet werden kann, formatiert und überprüft Copilot die Antwort im Rahmen des Engagements von Microsoft für verantwortungsvolle AI. Dies beruht auf folgenden Prinzipien:
    • Fairness
    • Zuverlässigkeit und Sicherheit
    • Datenschutz und -Sicherheit
    • Inklusion
    • Transparenz
    • Verantwortlichkeit
  7. Zuletzt wird die verifizierte Antwort an die Benutzer:innen zurückgesendet, die damit weiterarbeiten können.

 

Datenschutz und -sicherheit

Im sechsten Punkt wurde das Thema verantwortungsvolle AI und das Engagement von Microsoft kurz angeschnitten. Ich möchte hier auf den Punkt Datenschutz und -sicherheit etwas genauer eingehen.

Ein wesentlicher und wichtiger Aspekt hierbei ist „Deine Daten sind deine Daten, die durch umfassende Compliance- und Sicherheitskontrollen gesichert sind“. Ihre Daten werden auch nicht für das Trainieren von AI-Modellen verwendet. Um die Daten ausschließlich der Organisation zur Verfügung zu stellen, werden folgende Maßnahmen angewendet:

 

  • Verschlüsselung: Daten werden sowohl im Ruhezustand als auch während der Übertragung verschlüsselt, um unbefugten Zugriff zu verhindern.
  • Zugriffskontrollen: Nur autorisierte Personen haben Zugriff auf sensible Informationen. Das wird durch rollenbasierte Zugriffskontrollen und die Zuweisung von Berechtigungen gewährleistet.
  • Datenfreigabeeinstellungen: Die Freigabe von Kundendaten ist standardmäßig aktiviert, kann jedoch von den Copilot-Besitzenden während der ersten Nutzung und jederzeit danach angepasst werden.
  • Regelmäßige Überwachung und Protokollierung: Systemgenerierte Protokolle werden kontinuierlich erstellt, um die Systemaktivität zu überwachen und sicherzustellen, dass die Systeme wie erwartet funktionieren.
  • Einhaltung von Datenschutzbestimmungen: Microsoft Copilot for Security erfüllt die bestehenden Datenschutz-, Sicherheits- und Complianceverpflichtungen, einschließlich der Datenschutz-Grundverordnung (DSGVO) und der EU-Datenrichtlinie.

 

Analyst:innen können keine Daten und Informationen einsehen, auf die sie keinen Zugriff haben. Wenn beispielsweise ein Securityanalyst Informationen von Microsoft Sentinel benötigt, muss er auch die notwendigen Berechtigungen dafür haben, um die Daten zu erhalten.

Hier eine Auflistung der Microsoft-Hauptdatenquellen (Skills), die an Copilot for Security angebunden bzw. aktiviert werden können:

 

  • Microsoft Defender XDR
  • Microsoft Sentinel
  • Microsoft InTune
  • Microsoft Defender Threat Intelligence
  • Microsoft Entra
  • Microsoft Purview
  • Microsoft Defender External Attack Surface Management
  • Microsoft Defender for Cloud

 

Des Weiteren kann Copilot for Security um Third-party-Plug-ins und Custom-Integrationen erweitert werden.

 

Schlussfolgerung

Zusammengefasst handelt es sich bei Copilot for Security um eine Revolution im Securitybereich, die unter Berücksichtigung und Sicherstellung von umfangreichen Compliance- und Sicherheitsmaßnahmen jedem zur Verfügung steht. Diese Funktionalität basiert auf dem aktuellen Entwicklungsstand der künstlichen Intelligenz und wird in den hoch skalierbaren Cloud-Datacenters von Microsoft betrieben.

Aus Sicht von Konsumenten wird sich die Erkennung von Angriffen erheblich verbessern und auch die Incident Response beschleunigen, was heutzutage ein absolutes Muss darstellt.

 

Links & Literatur

[1] learn.microsoft.com

Top Articles About Security

Ihr aktueller Zugang zur .NET- und Microsoft-Welt.
Der BASTA! Newsletter:

Behind the Tracks

.NET Framework & C#
Visual Studio, .NET, Git, C# & mehr

Agile & DevOps
Agile Methoden, wie Scrum oder Kanban und Tools wie Visual Studio, Azure DevOps usw.

Web Development
Alle Wege führen ins Web

Data Access & Storage
Alles rund um´s Thema Data

JavaScript
Leichtegewichtig entwickeln

UI Technology
Alles rund um UI- und UX-Aspekte

Microservices & APIs
Services, die sich über APIs via REST und JavaScript nutzen lassen

Security
Tools und Methoden für sicherere Applikationen

Cloud & Azure
Cloud-basierte & Native Apps

NIE MEHR BASTA! NEWS VERPASSEN