Non è certo un mistero che uno dei principali problemi affrontati dai team di cybersecurity sia un livello pericolosamente crescente di complessità in molti aspetti della sicurezza IT: nel numero e nel tipo delle minacce, nella disponibilità di risorse preparate, nella natura delle infrastrutture da proteggere. Allo stesso modo, non è affatto un mistero che i principali vendor di cybersecurity guardino all'AI come a uno strumento per fare fronte a questa complessità.

Microsoft ritiene che l'AI possa portare un vero e proprio "cambio di paradigma" nella gestione della cybersecurity. E in questo assegna alla AI generativa un ruolo molto importante, addirittura "trasformativo" se unito alla threat intelligence e ai modelli di machine learning mirati sul settore sicurezza.

Il primo frutto concreto di questa visione della sinergia tra AI generativa e cybersecurity è Microsoft Security Copilot, annunciato qualche mese fa e ora reso disponibile secondo un Early Access Program aperto ad alcuni clienti "qualificati". Security Copilot va a far parte della soluzione XDR Microsoft 365 Defender e opera integrato con Microsoft Defender Threat Intelligence, per sfruttare la conoscenza che deriva dalla parte, appunto, di threat intelligence.

Fonte: Microsoft

In sintesi, Security Copilot è un assistente digitale che affianca i team di cybersecurity in alcune operazioni quotidiane, nello specifico quelle in cui l'utilizzo dell'AI generativa e di sottostanti Large Language Model specializzati in sicurezza può velocizzare lo svolgimento di determinati compiti. Tra quelli considerati più importanti da Microsoft c'è in particolare la gestione dei processi di risposta e remediation. L'AI generativa in questo caso aiuta a definire ed a seguire workflow anche complessi che contribuiscono a ridurre i tempi di reazione alle minacce.

Sempre in caso di attacco, o in una successiva fase di analisi, l'AI generativa aiuta a comprendere quali operazioni il codice sorgente di un malware intende effettivamente compiere. Tradizionalmente, sottolinea Microsoft, questa possibilità richiedeva competenze mirate che non tutte le imprese avevano disponibili. L'AI è invece in grado di analizzare codice anche complesso, scritto con l'obiettivo specifico di non essere facilmente comprensibile.

In situazioni meno di emergenza, Security Copilot aiuta ad esempio nel realizzare velocemente sintesi esaustive della dinemica di un attacco subito. Permette poi di porre domande in linguaggio naturale quando si interroga la base dati di cybersecurity gestita dalle piattaforme Microsoft. Queste domande vengono automaticamente convertite in query strutturate in Kusto Query Language, linguaggio che non è (più) necessario sapere a priori.

Microsoft punta poi molto sulla citata integrazione tra Security Copilot e la componente di threat intelligence. L'obiettivo è collegare gli indicatori di compromissione rilevati nell'analisi costante delle infrastrutture IT con informazioni di cybersecurity strutturate, sia generate direttamente da Microsoft grazie ai suoi analisti di sicurezza, sia disponibili come open source intelligence. L'AI generativa qui serve a presentare le informazioni disponibili in una maniera esaustiva e anche facilmente comprensibile.