微软推出首款集成SIEM、XDR和AI助手的统一安全运营平台,还有一系列人工智能改进安全效率和保障人工智能安全的产品。
11月20日消息,在日前召开的微软Ignite大会上,微软负责安全、合规、身份等部门的副总裁Vasu Jakkal发布了一系列面向AI时代的安全产品,比如推出首款集成Security Copilot的统一安全运营平台;数据安全、身份、设备管理等领域产品全面集成Security Copilot,包括Microsoft Defender、Microsoft Defender云端版、Microsoft Sentinel、Microsoft Intune、Microsoft Entra和Microsoft Purview等;通过Defender、Purview等产品保障人工智能的使用安全等。
11月初,微软总裁Brad Smith宣布启动“安全未来倡议”,以提供其产品和平台的内置安全性。此次安全产品更新呼应了这一倡议。
人工智能安全的未来
近年来,网络攻击的速度、规模和复杂性不断增加,要求我们采取新的安全措施。传统工具已无法应对网络犯罪分子构成的威胁。仅仅两年时间,微软检测到的密码攻击数量已经从每秒579次增加到每秒4000多次。根据Cybersecurity Ventures的数据,全球网络犯罪成本预计将在2025年达到10.5万亿美元,而2015年仅为3万亿美元。
平均来说,每家组织使用多达80种环境安全管理工具。这导致安全团队面临泛滥的数据、疲于应付警报,也无法清晰地总览各种安全解决方案。安全团队面临着不对称的挑战:他们必须保护一切,而网络攻击者只需要找到一个弱点。面对这一挑战的同时,安全团队还需要应对复杂的监管、全球性人才短缺和严重的碎片化等问题。
安全团队也有诸多优势。其中之一是拥有数据领域的完整视角。他们了解基础设施、用户姿态和应用程序在网络攻击发生之前的设置情况。为了进一步帮助网络防御者,微软安全中心提供了非常大规模的数据优势:每天有 65 万亿信号,具备全球威胁情报的专业知识,监控超过 300 个网络威胁组织,并从超过 100 万客户和超过 1.5 万合作伙伴那里获得有关网络攻击者行为的见解。
微软的新一代生成式人工智能解决方案Security Copilot,结合公司大规模数据优势和端到端安全性,全部建立在“零信任”原则之上,形成了一种保护的良性循环,改变了数字威胁格局的不对称性,并在这个安全新时代中支持安全团队。
利用Security Copilot改变安全范式
安全领域最大的挑战之一是缺乏网络安全专业人员。网络安全领域中有三百万个空缺职位,而网络威胁的频率和严重程度不断增加,我们迫切需要更多专业人员。
最近进行的一项针对“新入职”分析人员的生产力影响研究显示,使用Security Copilot 的参与者在所有任务中比其他参与者的回应准确度高出44%,完成任务的速度快了 26%。
同一项研究表明:
86%的参与者报告说Security Copilot帮助他们提高了工作质量。
83%的参与者表示Security Copilot减少了完成任务所需的工作量。
86%的参与者认为Security Copilot提升了他们的工作效率。
90%的参与者表示希望在下次执行相同任务时继续使用Security Copilot。
Security Copilot在10月份已经开启测试,部分客户可以参与早期访问计划。
行业首款集成Copilot的统一安全运营平台
安全运营团队在管理来自独立技术和应用程序的各种安全工具集方面面临挑战。考虑到安全人才稀缺,这一挑战愈发严峻。为了增强威胁情报工作,组织一直在投资传统的人工智能和机器学习。但是,部署人工智能和机器学习也存在独特的挑战和数据科学人才短缺。
如今,我们行业需要一个飞跃性的进展。感谢生成式人工智能,我们现在可以弥补安全和数据专业人才缺口。我们需要创新的方法保护组织,以机器速度预防、侦测、打击网络攻击,并提供简单易懂、对话式体验,帮助安全运营中心(SOC)团队加速行动,并整合目前散落在不同工具中的所有安全信号和威胁情报。
今天,微软宣布这一定义行业愿景的重要的一步:将安全信息和事件管理(SIEM)、扩展式检测与响应(XDR)的解决方案以及生成式人工智能促进安全等方面的领先解决方案融合成全球首个统一安全运营平台。
将Microsoft Sentinel、Microsoft Defender XDR(之前称为Microsoft 365 Defender)和Security Copilot结合在一起,安全分析人员现在拥有了统一的事件体验,分类工作得到简化,获得完整的端到端视图,以展现跨数字资产的威胁。使用生成式人工智能加持的自动化规则和工作手册,各级分析人员都能更加轻松、快速地协调响应。此外,统一的搜索使分析人员能够在一个地方查询所有SIEM和XDR数据,从而发现网络威胁并采取适当的应对措施。有兴趣尝试统一安全运营平台预览版的客户可以与其客户团队联系。
此外,Security Copilot天然嵌入分析人员体验,同时支持SIEM和XDR,并为调查和解决事件提供了分步指导和自动化,而无需依赖数据分析人员。通过自然语言询问问题或接受Security Copilot的建议,即可完成分析恶意脚本或制作用于在Microsoft Sentinel和Defender XDR中跨数据进行搜索的Kusto查询语言(KQL)等复杂任务。如果用户需要向首席信息安全官更新有关事件的信息,可以立即生成一份简洁的报告,总结调查和解决措施。
为了跟上网络攻击者的速度,统一的安全运营平台以机器速度捕获网络威胁,并通过自动阻断高级攻击来保护组织。微软将此功能扩展到第三方信号,例如SAP信号和警报。对于已连接SAP的SIEM客户,攻击阻断将自动检测金融欺诈技术,并禁用本机SAP和连接的Microsoft Entra帐户,防止网络攻击者转移任何资金,而无需SOC干预。Microsoft Defender终端版中的新伪装功能将进一步增强攻击阻断能力。现在可以自动生成逼真的诱饵,以便用虚假的有价值资产吸引网络攻击者,为SOC提供高置信度的早期信号,并更快地触发自动攻击阻断。
最后,微软使用来自Microsoft Defender云端版这款领先的云原生应用程序保护平台(CNAPP)的云工作负载信号和警报增强本地XDR体验,使分析人员能够进行跨多云基础设施(Azure、AWS和GCP环境),身份、电子邮件和协作工具,SaaS应用程序和多平台终端的调查,使Microsoft Defender XDR成为业内最全面的本地XDR平台之一。
同时操作SIEM和XDR的客户,可以将Microsoft Sentinel添加到其Microsoft Defender门户体验中,无需迁移。现有的Microsoft Sentinel客户可以继续使用Azure门户。统一的安全运营平台现已提供私人预览,并将于2024年推出公开预览。
Copilot全面集成至数据安全、身份、设备管理等领域
安全是团队间共同的责任,然而许多团队并不共享相同的工具或数据,他们通常也不相互合作。作为早期访问计划的一部分,我们正在微软安全产品组合中增加Security Copilot的新功能和内置体验,赋予所有安全和IT角色以机器速度检测和解决网络威胁的能力。
为了使所有角色都能够防范高级安全风险并提高运营效率,Security Copilot现在将Microsoft Defender、Microsoft Defender云端版、Microsoft Sentinel、Microsoft Intune、Microsoft Entra和Microsoft Purview的信号汇集到一个单一的视图中。
利用Security Copilot倍增安全团队力量
Microsoft Purview:数据安全和合规团队需要审查分散在多个安全工具中的各种复杂和多样的警报,每个警报都包含丰富的见解。为了使数据保护更快速、更有效、更简单,Security Copilot现在已嵌入到Microsoft Purview中,在Microsoft Purview数据丢失预防、Microsoft Purview内部风险管理、Microsoft Purview电子发现和Microsoft Purview通信合规工作流程中提供摘要功能,对繁多和多样的数据进行梳理,加速调查和响应时间,并让各级分析人员能够利用人工智能迅速完成复杂任务。此外,电子发现提供人工智能翻译功能,您可以用自然语言定义搜索查询,加快搜索迭代速度,消除使用关键字查询语言的需求。这些新的数据安全功能现在也可以在Microsoft Security Copilot独立体验中使用。
Microsoft Entra:基于密码的攻击在过去一年内大幅增加,新的攻击技术正在尝试规避多因素身份验证。为了加强对身份泄露的防御,内置于Microsoft Entra中的Security Copilot可以协助调查身份风险,并帮助解决日常的身份任务,比如为什么需要进行多重身份验证或者为什么某用户的风险等级提高。IT 管理员可以立即获得每个风险身份的风险摘要、解决措施和建议指导,只需使用自然语言。一个概括报告即可快速了解登录问题的根源及相关信息和背景。此外,在微软 Entra ID Governance 中,管理员可以使用 Security Copilot 指导创建生命周期工作流程,简化创建和发布用户凭据和访问权限的流程。这些新功能可以对用户和群组、登录日志以及高风险用户提供摘要,现在也可在 Microsoft Security Copilot 独立体验中使用。
Microsoft Intune:不断变化的设备环境增加了IT复杂性和终端漏洞的风险。IT管理员在管理这些设备和保护组织数据方面扮演着至关重要的安全角色。我们将在未来几周内为早期访问计划的部分客户提供内置于Microsoft Intune中的Security Copilot体验,这标志着端点管理和安全方面的重大进步。这一体验能够以前所未有的可视性提供全面的设备数据,为创建策略时提供实时指导,并赋予安全和IT团队更快、更容易地发现和解决设备问题根本原因的能力。现在,IT管理员和安全分析师可以预先部署基于人工智能的防护措施,更好地了解环境中政策变更的影响。通过Copilot,他们可以节约时间、近乎实时地便捷收集设备、用户和应用程序数据,并接收人工智能提供的建议,应对威胁、事件和漏洞,增强端点安全。
Microsoft Defender云端版:对于网络安全团队来说,保持强大的云安全姿态是一项挑战。这是因为云原生开发和多云环境增长导致应用程序生命周期中风险和漏洞只能分散可见。现在,Security Copilot已经内置于Microsoft Defender云端版中,安全管理员能够更快速地通过导向式风险探索来识别资源中的关键问题,对风险进行摘要,并加入关键漏洞、敏感数据和横向移动等背景信息。为了更有效地解决发现的关键风险,管理员可以在Microsoft Defender云端版中使用 Security Copilot 来引导风险解决工作,并通过生成推荐摘要、逐步的解决措施和偏好语言的脚本来简化建议的实施,直接将解决措施行动委托给关键资源用户。这些新的云安全功能现在也可在 Microsoft Security Copilot 独立体验中使用。
Microsoft Defender外部攻击面管理(EASM):对于安全团队来说,追踪资产及其漏洞是一项非常繁重的任务,因为他们需要时间、协调和研究来了解哪些资产对组织构成风险。Defender for EASM的新功能现已在Security Copilot独立体验中可用。无论资产位于何处,新功能可让安全团队快速了解其外部攻击面,得到高度可信的结果。这些功能为安全运营团队提供了其外部攻击面的快速概览,帮助漏洞管理人员了解他们的外部攻击面是否受特定常见漏洞和暴露(CVE)的影响,并提供高风险和关键CVE的可视性,帮助团队了解这些CVE在其资产中的普遍程度,以便优先处理。
为第三方可信工具定制插件:当Security Copilot与更广泛的安全和IT团队工具集成时,将提供更强大、更丰富的见解和指导。为了做到这一点,Security Copilot必须拥抱一个庞大的安全合作伙伴生态系统。为此,我们非常高兴地宣布,Security Copilot客户现在已经能够获取与ServiceNow的最新集成。对于希望引入其可信安全工具并集成自己组织的数据和应用程序的客户,我们还推出了一组新的定制插件,帮助他们扩展Security Copilot的覆盖范围,获得新的数据和新的功能。
确保生成式人工智能的使用安全
随着各大组织迅速采用生成式人工智能,确保安全和负责任的使用就显得至关重要。这包括理解生成式人工智能的使用方式,保护生成式人工智能使用或创建的数据,并对人工智能的使用进行管理。随着生成式人工智能应用程序的普及,安全团队需要能够确保既保护人工智能应用程序,也保护其与之交互的数据的工具。事实上,43% 的组织认为最担忧的问题是缺少检测和减轻人工智能风险的控制措施。不同的人工智能应用程序会带来不同程度的风险,组织需要能够以不同的保护级别监控和控制这些生成式人工智能应用程序。
Microsoft Defender:Microsoft Defender云端版应用程序正在扩展其发现能力,帮助组织了解正在使用的生成式人工智能应用程序,为其提供全面的保护和控制,阻止风险较高的生成式人工智能应用程序,并采用随时可用的可定制政策,防止人工智能提示词和人工智能响应中出现数据泄露。这项新功能支持400多种生成式人工智能应用程序,并提供了简单的方式来筛选低风险和高风险的应用程序。
Microsoft Purview:Microsoft Purview的新功能有助于全面保护和管理人工智能中的数据,覆盖了Microsoft Copilot和非微软的生成式人工智能应用程序。客户可以了解人工智能活动,包括人工智能提示词中是否涉及敏感数据,通过随时可用的政策全面保护人工智能提示词和响应中的数据,并通过合规控制轻松满足业务和监管要求。Microsoft Purview功能已与Microsoft Copilot集成,首先支持Microsoft 365的Copilot,加强了Microsoft 365的Copilot的数据安全和合规性。
此外,为了帮助客户更好地了解正在使用的人工智能应用程序以及其使用方式,我们宣布在Microsoft Purview中推出人工智能中心的预览。Microsoft Purview 可为组织提供汇总视图,展示发送到Copilot的所有提示词,以及这些提示词中包含的敏感信息。组织还可以看到与Copilot交互的用户数量的汇总视图。我们还将扩展这些功能,覆盖100多种最常用的消费者生成式人工智能应用程序(如ChatGPT、Bard、DALL-E等)。
扩展端到端安全,实现全面保护
满足日常的保护需求是一项安全挑战,不能被忽视。为了努力赶超网络攻击者,保护组织数据,我们设计安全功能,以适应数字威胁格局的演变,提供全面保护,抵御网络威胁。
通过Microsoft Defender云端版,加强代码到云端的防御。为了应对多云环境和云原生应用的复杂性,安全团队需要一个全面的策略,使得所有云部署都能进行代码到云端的防御。在姿态管理方面,Microsoft Defender云端版与Microsoft Entra权限管理的集成预览帮助您为云资源应用最小权限原则,并展示Azure、AWS和Google Cloud上的访问权限与潜在漏洞之间的关联。Microsoft Defender云端版还改进了攻击路径分析体验,帮助您预测和阻止复杂的云攻击,并为您在Amazon Elastic Kubernetes Service(EKS)和Google Kubernetes Engine(GKE)集群以及API的部署中提供更多见解,以便优先解决云风险。
为了加强应用程序全生命周期安全性,GitLab Ultimate集成预览为您提供清晰的应用安全姿态视图,并简化了在所有主要开发平台(GitHub、Azure DevOps和GitLab)上的代码到云修复工作流程。此外,Microsoft Defender云端版大幅配置了Defender for APIs,为API威胁提供了基于机器学习的保护,并为Microsoft Azure容器注册表中的容器映像提供无代理的漏洞评估。Microsoft Defender云端版现在提供了一个统一的漏洞评估引擎,覆盖所有云工作负载,充分利用了Microsoft Defender漏洞管理的强大功能。
利用Microsoft Defender威胁情报功能改进威胁情报工作。Microsoft Defender XDR的Microsoft Defender威胁情报功能独家提供了宝贵的开源情报和网络数据集。这些功能增强了Microsoft Defender产品,为客户免费提供关键的威胁行为者、工具和基础设施的关键背景。在Defender XDR的威胁情报选项卡中,爆炸情报功能帮助用户搜索、查找威胁,并获取威胁背景,从而快速了解恶意文件或有潜在威胁的URL。Defender XDR客户可以快速提交威胁指标(IoC),立即查看结果。漏洞档案功能将来自微软威胁情报团队关于漏洞的情报汇总起来。当发现新信息时,档案会得到更新,包括描述、通用漏洞评分(CVSS)、优先级评分、攻击手段以及深网和暗网讨论观察。
利用Microsoft Purview来扩展对结构化和非结构化数据类型的数据保护能力。在过去,对跨数字资产的多样化要素进行敏感数据保护和管理,可能需要多个供应商,增加了大量的集成成本。但如今,借助Microsoft Purview,您可以全面了解整个数据资产,保护您的结构化和非结构化数据,并在各个云环境中检测风险。Microsoft Purview的标记和分类功能正在扩展到Microsoft 365之外,为结构化和非结构化数据类型提供访问控制。用户可以发现、分类和保护存储在结构化数据库,如Microsoft Azure SQL和Azure Data Lake Storage(ADLS)中的敏感信息,同时还可以将这些功能扩展到Amazon Simple Storage Service(S3)存储桶中。
利用Microsoft Purview内部风险管理功能检测内部风险,提供即时可用的风险指标来检测Azure、AWS和SaaS应用程序(包括Box、Dropbox、Google Drive和GitHub)中的重要内部风险。具有适当权限的管理员不再需要手动交叉参考这些环境中的信号。他们现在可以利用精心策划和预处理的指标获得潜在内部事件的更全面信息。
利用Microsoft Entra简化访问安全。在使用多个提供商进行身份管理、网络安全和云安全时,保护访问点至关重要,但也可能非常复杂。通过Microsoft Entra,您可以将所有访问控制集中在一起,更全面地加强和保护您的环境。Microsoft的安全服务边缘解决方案正在引入几个新功能。
到2023年底,Microsoft Entra互联网访问预览版将为所有互联网应用程序和资源提供具有上下文感知的安全网关(SWG)功能,包括Web内容过滤、条件访问控制、合规网络检查和源IP还原。
Microsoft Entra Private Access私有应用程序和资源版将扩展协议支持,以便您可以顺利过渡到现代的零信任网络访问(ZTNA)解决方案,并为远程和本地用户的所有私有应用程序添加多因素认证。
用户可以自动参与Microsoft Entra条件访问政策,增强安全姿态并简化保护访问。您可以很便捷地在Microsoft Authenticator应用程序中创建并管理一个免费的、基于开放标准的、抗钓鱼的通行证,用于登录Microsoft Entra ID管理的应用程序。
Microsoft Entra权限管理新集成功能将对云资源强制实施最小权限访问。权限管理最新集成了ServiceNow功能,帮助组织将时间限制的访问权限请求纳入现有的ServiceNow审批工作流程。
利用Microsoft Intune套装,统一、简化流程,为用户带来愉悦体验。微软将于2024年2月推出Intune套装的三个新解决方案。这些解决方案进一步统一了Intune中的关键端点管理工作负载,以加固设备安全姿态、提供更好的体验,并简化端到端的IT和安全运营。微软还将在2024年3月为政府社区云的机构和组织提供这些解决方案,以及Intune套装现有的功能。
Microsoft Cloud PKI提供了一种综合的、基于云的公钥基础设施和证书管理解决方案,用于简化创建、部署和管理用于认证、Wi-Fi和VPN端点的证书。
Microsoft Intune企业应用管理功能提供一个安全的企业目录,简化了第三方应用的发现、打包、部署和更新,保证所有员工了解最新情况。
Microsoft Intune高级分析功能扩展了Intune套装的异常检测功能,并为管理员提供了深层设备数据情况,还提供了电池健康评分,用于主动提供更好、更安全用户体验并提高生产力。
参考资料:
microsoft.com