В то время, как злоумышленники все чаще используют возможности ChatGPT для организации кибератак, разработчики по другую сторону баррикад также не дремлют. Так, 28 марта Microsoft представила сервис Security Copilot на базе GPT-4, объединенной с данными и информацией из различных инструментов безопасности компании, включая Sentinel, Defender и Intune.
Чат-бот этого профильного ИИ натренирован распознавать кибератаки на компанию, даже когда их явные признаки отсутствуют. Основное предназначение Security Copilot — это помощь сотрудникам по ИБ в компаниях, чтобы они смогли оперативно противодействовать хакерам. Создатели заявляют, что новый инструмент создан для поддержки аналитиков, а не для их замены, и предоставляет возможность совместной работы и обмена знаниями между коллегами.
Microsoft пояснила, что Security Copilot обучен на большом массиве данных, материалах и терминологии, которые относятся именно к направлению информационной безопасности, включая последние тенденции по развитию систем защиты и противостоянию угроз злоумышленников.
Security Copilot позволяет экспертам запрашивать обзоры уязвимостей, изучать файлы, URL-адреса или код, а также получать информацию об инцидентах и предупреждениях от других ИБ инструментов. Все запросы и ответы фиксируются, обеспечивая полный аудит для исследователей.
Security Copilot умеет определить кибератаку, оценить её масштаб и выдать сотруднику по ИБ подробные инструкции по устранению последствий киберинцидента на основе предыдущих подобных событий и рекомендуемых профильным сообществом технических мер. ИИ обучен создавать слайды в PowerPoint для удобства дальнейшего использования его советов.
По словам разработчиков, в настоящий момент Security Copilot находится в стадии предварительного тестирования и доступен для нескольких корпоративных клиентов Microsoft.
Но, как говорится, не ИИ единым. 23 марта Microsoft представила новую функцию безопасности в Exchange Online, которая призвана автоматически регулировать, а в конечном итоге и вовсе блокировать все электронные письма, отправленные с так называемых «постоянно уязвимых Exchange-серверов».
Как объясняет компания, «постоянно уязвимыми» принято считать серверы Exchange в локальных или гибридных средах, на которых:
- работает программное обеспечение с истекшим сроком поддержки (серверы Exchange 2007, 2010 и вскоре 2013)
- программное обеспечение актуально, не были исправлены известные уязвимости безопасности (серверы Exchange 2016 и 2019, которые пропустили ряд патчей безопасности).
Microsoft заявляет, что новая «Система контроля на основе транспорта» («transport-based enforcement system») в Exchange Online имеет три отдельные функции:
- Отчетность — создание наглядных цветных отчётов для администраторов, призванных упростить приоритезацию обслуживания серверов.
- Регулирование — временная блокировка исходящей корреспонденции уязвимого сервера, снижение его пропускной способности на отправку писем.
- Блокировка — своеобразный бан сервера, его полная блокировка до устранения статуса уязвимого.
Основная цель новой системы, по словам Microsoft, — помочь администраторам Exchange своевременно идентифицировать неисправленные или неподдерживаемые локальные серверы Exchange. Это даст администраторам возможность обновить или исправить уязвимые сервера до того, как они станут массовой угрозой безопасности.
Для многих системных администраторов тот факт, что корпоративные электронные письма могут быть заблокированы и не дойти до получателей, вероятно, станет своеобразным стимулом тщательнее следить за установкой необходимых обновлений Exchange, а также оперативно переходить на новые версии ПО. Ранее Microsoft уже призывала своих клиентов поддерживать локальные серверы Exchange в актуальном состоянии. Видимо, такой мягкий подход не возымел должного эффекта.
С заботой о вашей безопасности, команда Origin Security
