Jakkal dice que si bien las herramientas de seguridad de aprendizaje automático han sido efectivas en dominios específicos, como monitorear el correo electrónico o la actividad en dispositivos individuales, conocida como seguridad de punto final, Security Copilot reúne todos esos flujos separados y extrapola una imagen más grande. “Con Security Copilot puedes captar lo que otros pueden haber pasado por alto porque forma ese tejido conectivo”, dice ella.
Security Copilot funciona en gran medida con ChatGPT-4 de OpenAI, pero Microsoft enfatiza que también integra un modelo específico de seguridad patentado de Microsoft. El sistema rastrea todo lo que se hace durante una investigación. El registro resultante se puede auditar y los materiales que produce para su distribución se pueden editar para mayor precisión y claridad. Si algo que Copilot sugiere durante una investigación es incorrecto o irrelevante, los usuarios pueden hacer clic en el botón «Fuera del objetivo» para entrenar aún más el sistema.
El sistema ofrece controles de acceso para que ciertos colegas puedan ser compartidos en proyectos particulares y no en otros, lo cual es especialmente importante para investigar posibles amenazas internas. Y Security Copilot permite una especie de respaldo para el monitoreo 24/7. De esa manera, incluso si alguien con un conjunto de habilidades específico no está trabajando en un turno determinado o en un día determinado, el sistema puede ofrecer análisis básicos y sugerencias para ayudar a cerrar las brechas. Por ejemplo, si un equipo quiere analizar rápidamente un script o un binario de software que puede ser malicioso, Security Copilot puede comenzar ese trabajo y contextualizar cómo se ha comportado el software y cuáles pueden ser sus objetivos.
Microsoft enfatiza que los datos de los clientes no se comparten con otros y «no se utilizan para entrenar o enriquecer los modelos básicos de IA». Sin embargo, Microsoft se enorgullece de usar «65 billones de señales diarias» de su enorme base de clientes en todo el mundo para informar sus productos de defensa y detección de amenazas. Pero Jakal y su colega, Chang Kawaguchi, vicepresidente de Microsoft y arquitecto de seguridad de IA, enfatizan que Security Copilot está sujeto a las mismas restricciones y regulaciones de intercambio de datos que cualquiera de los productos de seguridad con los que se integra. Entonces, si ya usa Microsoft Sentinel o Defender, Security Copilot debe cumplir con las políticas de privacidad de esos servicios.
Kawaguchi dice que Security Copilot se ha creado para ser lo más flexible y abierto posible, y que las reacciones de los clientes informarán futuras mejoras y adiciones de funciones. En última instancia, la utilidad del sistema se reducirá a cuán perspicaz y preciso pueda ser sobre la red de cada cliente y las amenazas que enfrenta. Pero Kawaguchi dice que lo más importante es que los defensores comiencen a beneficiarse de la IA generativa lo más rápido posible.
Como él dice: «Necesitamos equipar a los defensores con IA dado que los atacantes la usarán independientemente de lo que hagamos».