KI-gestützte Sicherheit: Microsoft Copilot für Security

Beginn des KI-Booms

Ende 2022 stellte OpenAI GPT-3, auch bekannt als ChatGPT, der breiten Öffentlichkeit zur Verfügung. Innerhalb von nur fünf Tagen registrierten sich weltweit eine Million Nutzer. Der Hype um die App wurde vor allem durch die einfache Nutzbarkeit erklärt, denn erstmals konnten auch Laien weltweit mit KI interagieren, ohne tiefgreifende IT-Kenntnisse zu besitzen.

ChatGPT war der endgültige Startschuss für den KI-Hype, den wir erleben. Inzwischen befinden wir uns im zweiten Jahr nach dessen Launch und OpenAI registriert inzwischen ca. 100 Millionen aktive Nutzer.

KI hält Einzug in die Unternehmenswelt

Nachdem man über das Generieren von Texten, Musiktiteln, Bildern oder gar Videos gestaunt hatte, stellte sich natürlich die Frage, wann die KI-Unterstützung Einzug in die Unternehmenswelt findet. Die Antwort: schneller als die meisten wohl gedacht hatten, denn Microsoft Copilot für Microsoft 365 erschien letztes Jahr – und damit bereits knapp ein Jahr nach dem Startschuss für ChatGPT.

Microsoft 365 Copilot ist in die Microsoft 365 Welt eingebunden. Dieses Tool unterstützt eine Vielzahl von Aufgaben wie das Erstellen von Dokumenten, Brainstorming, Präsentationserstellung in PowerPoint, Datenanalyse in Excel und vieles mehr. Das Anwendungsfeld deckt folglich eine breite Palette von Job-Rollen ab, da es bei alltäglichen Arbeitsaufgaben unterstützt.

Für Sicherheitsteams fehlte bisher jedoch noch eine tiefergreifende Integration und das Wissen der KI, um relevanten Mehrwert bieten zu können.

Der parallele Handlungsstrang: Cyberkriminalität

Noch vor der Veröffentlichung von ChatGPT haben die Bedrohungen im Bereich Cybersecurity in den letzten Jahren dramatisch zugenommen. Vor allem die Zäsur der Arbeitswelt während der Corona-Jahre sowie der Angriffskrieg Russlands in der Ukraine haben zu einem weiteren Anstieg der Angriffe geführt.

Aber auch allgemeine Entwicklungen im Bereich der Digitalisierung tragen zur Verschärfung der Bedrohung bei. Die immer größer werdende Anzahl von vernetzten Geräten und Systemen führt zu einer Zunahme der Angriffsfläche. Vom Internet der Dinge (IoT) bis hin zu cloudbasierten Infrastrukturen sind die Angriffsflächen vielfältig und komplex geworden. Zum anderen haben sich auch die Angriffsmethoden weiterentwickelt. Cyberkriminelle nutzen immer ausgefeiltere Techniken, um Schwachstellen in Systemen auszunutzen und an sensible Daten zu gelangen. Phishing, Ransomware und Distributed Denial-of-Service (DDoS) Angriffe sind nur einige Beispiele für die vielfältigen Bedrohungen, mit denen wir konfrontiert sind.

Die Bedeutung von APT

Unter den verschiedenen Bedrohungen sticht die Gefahr durch Advanced Persistent Threats (APT) besonders heraus. APT bezeichnet komplexe und gezielte Angriffe, die oft von staatlich geförderten Akteuren oder gut organisierten Cyberkriminellen durchgeführt werden. Diese Angriffe zielen darauf ab, langfristigen Zugriff auf ein System zu erlangen, ohne dabei sofort entdeckt zu werden.

Was APT so gefährlich macht, ist ihre Ausdauer und Tarnung. Angreifer können Monate oder sogar Jahre damit verbringen, sich Zugang zu sensiblen Daten und Systemen zu verschaffen, ohne dass die Opfer etwas davon bemerken. Durch ausgeklügelte Taktiken wie Social Engineering, Zero-Day-Exploits und gezielte Phishing-Angriffe können APT-Gruppen hochsensible Informationen stehlen oder sogar die Kontrolle über ganze Infrastrukturen übernehmen.

Cybersecurity und KI verbinden: Microsoft Copilot für Security

Sicherheitsteams stehen vor einer asymmetrischen Herausforderung: Sie müssen alles schützen, während Cyberangreifer nur eine Schwachstelle finden müssen. Sicherheitsteams müssen dies tun, während sie gleichzeitig mit der Komplexität der Vorschriften (NIS2, DORA), einem globalen Fachkräftemangel und einer grassierenden Fragmentierung ihrer bekannten Infrastruktur konfrontiert sind.

Ein zuverlässiger Schutz vor Sicherheitsrisiken ist folglich von entscheidender Bedeutung. Hier bieten die Sicherheitsprodukte von Microsoft bereits eine breite Palette – insbesondere ist hier auf Microsoft Sentinel als SIEM und SOAR System zu verweisen.

"Klicks statt Komplikationen: Die Einfachheit von Microsoft Copilot für Security

Die einfache Bedienung und klare Benutzeroberfläche von Microsoft Copilot für Security dazu bei, die Effizienz und Wirksamkeit von Sicherheitsteams zu steigern, indem sie die Barrieren für den Einsatz moderner Sicherheitstechnologien senkt und eine reibungslose Nutzung ermöglicht.

• Zeitersparnis für Sicherheitsteams: Eine intuitive Benutzeroberfläche ermöglicht es Sicherheitsteams, schnell auf Sicherheitsvorfälle zu reagieren, ohne Zeit für das Erlernen komplexer Systeme zu verschwenden. Dies führt zu einer effizienteren Arbeitsweise und ermöglicht es den Teams, sich auf wichtigere Aufgaben zu konzentrieren.
• Geringere Schulungsanforderungen: Eine einfache Bedienung reduziert den Schulungsbedarf für neue Mitarbeiter, da sie sich schnell mit der Plattform vertraut machen können. Dies ist besonders wichtig in Umgebungen, in denen die Fluktuation hoch ist oder in denen Sicherheitsaufgaben von verschiedenen Teammitgliedern übernommen werden.
• Schnellere Reaktionszeiten: Durch eine leicht verständliche Benutzeroberfläche können Sicherheitsteams Bedrohungen schneller erkennen und darauf reagieren, was die Reaktionszeiten verkürzt und die Auswirkungen von Sicherheitsvorfällen minimiert.
• Bessere Zusammenarbeit: Eine einfache Bedienung fördert die Zusammenarbeit zwischen den Teammitgliedern, da Informationen leichter ausgetauscht und gemeinsam an Sicherheitsvorfällen gearbeitet werden können. Dadurch können Teams effektiver zusammenarbeiten, um komplexe Bedrohungen zu bewältigen.

Unterschied zwischen ChatGPT und Microsoft Copilot für Security

ChatGPT und Microsoft Copilot für Security sind KI-Technologien, die entwickelt wurden, um Benutzern zu helfen, Aufgaben und Aktivitäten schneller und effizienter zu erledigen.

Microsoft Copilot für Security ist ein KI-basiertes Sicherheitsanalysetool in natürlicher Sprache, das Organisationen dabei unterstützt, sich vor den zuvor diskutierten Bedrohungen zu schützen. Microsoft Copilot für Security basiert auf der bekannten OpenAI-Technologie. Ein wichtiger Unterschied zwischen dem generischen ChatGPT und Microsoft Copilot für Security ist allerdings, dass Letzteres von Grund auf als Cyber-KI für Unternehmen konzipiert und entwickelt wurde. Die Plattform arbeitet mit kundenverbundenen Plug-Ins (z.B. Microsoft Defender-Suite) und der globalen Threat Intelligence von Microsoft zusammen.

Dies zeigt sich im Umgang mit den beiden Tools: Microsoft Copilot für Security ist für das Statusmanagement, die Reaktion auf Vorfälle und die Berichterstellung konzipiert. Die Lösung ist auf den Prinzipien von Zero-Trust aufgebaut und bezieht Erkenntnisse aus Sicherheitssignalen, die von Plug-Ins aggregiert werden, während ChatGPT wie ein Chatbot funktioniert, der eine Unterhaltung mit einem Benutzer führen soll.

Entdeckungstour: Wie setze ich Microsoft Copilot für Security im Alltag ein?

Zusammenfassung eines Incidents

Diese Eingabeaufforderung hilft Ihnen, einen Vorfall zu untersuchen. Es generiert einen Report für ein nicht-technisches Adressatenkreis, der die Untersuchung zusammenfasst. Der Mitarbeiter kann diesen relevanten Stakeholdern, die nicht täglich mit IT-Aufgaben in Berührung kommen, bereitstellen.

**Beispiel-Prompt:**
Summarize Sentinel incident

 

Angeleitete Reaktion

Microsoft Copilot für Security bietet erweiterte Zusammenfassungen für aktive Vorfälle und stellt zudem mögliche Post-Response Handlungsschritte bereit, welche sich „im Chat“ durchführen lassen (Schritt-für-Schritt-Anleitung).

**Beispiel-Prompt:**
If a user is listed in the incident details, show which devices they recently used and indicate if they are compliant with policies.

 

Schwachstellenmanagement

Diese Funktion ermöglicht es Ihnen, Schwachstellen in Ihrer Umgebung proaktiv zu identifizieren und zu beheben. Copilot for Security nutzt dafür Daten aus verschiedenen Quellen, wie z. B. Vulnerability Management-Tools und Security-Scans, und priorisiert die Schwachstellen nach ihrem Risiko.

**Beispiel-Prompt:**

Find all vulnerabilities in my environment that have a CVSS score of 7 or higher and are not yet remediated.

Dies sind nur einige Beispiele dafür, wie Sie Microsoft Copilot for Security in Ihrem Arbeitsalltag einsetzen können. Die Plattform bietet noch viele weitere Funktionen, die Ihnen helfen können, Ihre Umgebung sicherer zu machen.

Die Identifizierung von Risiken und die Priorisierungsaufgaben können in einer fragmentierten Landschaft, in der Unternehmen mehrere Tools zur Datensicherheit verwenden, erschöpfend sein. Teams erhalten mehrere Warnungen, müssen Erkenntnisse manuell korrelieren und die Art eines Vorfalls team- und lösungsübergreifend abstimmen, was zu längeren Untersuchungszeiten führen kann.

Copilot für Security nutzt erweiterte GPT4-Modelle von OpenAI in Verbindung mit dem Microsoft Sicherheitsportfolio, einschließlich seiner Hyperscale-Infrastruktur, Orchestrierung, dem Fachwissen der Microsoft Security Teams und globaler Threat Intelligence.

 

Die Implementierung von Copilot für Security bietet mehrere Vorteile:

• Reduzierter Zeitaufwand für wiederholende Aufgaben
• Beschleunigte Erkennung und Reaktion (MTTD & MTTR)
• Geführte Prozesse wie Vorfallsauswertung oder Threat Hunting
• Wechsel von reaktiven zu proaktiven Aufgaben.

Dies adressiert auch die zweite große Herausforderung im Bereich der Cybersicherheit: den Fachkräftemangel. SOC-Teams können entlastet werden oder effizienter bei kritischen Vorfällen oder proaktiven Aufgaben arbeiten. Junior-Analysten können anspruchsvollere Aufgaben übernehmen, die bisher langwierig oder nur mit zusätzlicher Unterstützung erlernt und umgesetzt werden konnten. Senior-Analysten können sich wiederum auf kritische Probleme und die Weiterentwicklung des Sicherheitsstatus eines Unternehmens konzentrieren.

Neuer Skill benötigt: Prompt Engineering

Der Prozess des Schreibens, Verfeinerns und Optimierens von Eingaben – oder "Prompts" –, um generative KI-Systeme zu befähigen, spezifische, qualitativ hochwertige Ausgaben zu erstellen, wird als Prompt Engineering bezeichnet. Dies wird absehbar ein Skill, der in Zukunft für den Umgang mit KI-Systemen benötigt wird. Die Befähigung dessen betrifft alle – im Umgang mit Microsoft Copilot für Security natürlich vor allem entsprechende Sicherheitsteams – weswegen bereits frühzeitig in einen entsprechenden Wissensaufbau investiert werden sollte.

Promptes Engineering ist wichtig, da es allen KI-Modellen ermöglicht, genauere und relevantere Ergebnisse zu liefern. Durch die Erstellung präziser und umfassender Eingabeaufforderungen ist ein KI-Modell besser in der Lage, die Aufgabe, die es ausführt, zu synthetisieren und Antworten zu generieren, die für den Menschen nützlicher sind. Effektive Eingabeaufforderungen geben daher auch Microsoft Copilot für Security wichtige Parameter an die Hand, um gehaltvolle Antworten zu generieren.

Sicherheitsanalysten oder -forscher sollten beim Schreiben einer Eingabeaufforderung die folgenden Elemente einbeziehen:

• Ziel: Spezifische, sicherheitsrelevante Informationen
• Kontext: Warum diese Informationen benötigt oder verwendet werden sollen
• Erwartungen: Format oder Zielgruppe, auf die die Antwort zugeschnitten sein soll
• Quelle: Bekannte Informationen, Datenquelle(n) oder Plug-ins, die einbezogen werden sollten