תגיות:

לוחמי הסייבר החדשים: מיקרוסופט משיקה את סוכני Copilot לאבטחה וחושפת הגנות AI חדשות

מיקרוסופט מכריזה על מספר פיתוחים פורצי דרך הכוללים סוכני Copilot לאבטחה והגנות AI חדשות. על רקע הכרזות אלה, מיקרוסופט גם מפרסמת את דוח ה"גישה המאובטחת לעובדים בעידן AI" הסוקר מנהלי אבטחה מכ-300 ארגונים מובילים בעולם.

הדוח מצביע על מספר אתגרים עמם מתמודדים צוותי אבטחה כיום. ככל שהסביבה הדיגיטלית הולכת וגדלה, כך גם מתרחבות דרישות העובדים לגשת ליותר יישומים של הארגון. 58% ממנהלי האבטחה צופים גידול בביקוש במספר הזהויות הזקוקות לגישה ליישומים בשנה הקרובה.

כמו כן, העבודה ההיברידית ממשיכה לעצב את דרישות האבטחה החדשות בשל התכיפות בה עובדים מחליפים בין עבודה מרוחקת למקומית. כתוצאה מכך, 61% ממנהלי האבטחה מדווחים על עלייה בתקריות אבטחה מבוססות זהות.

בנוסף לכל זה, השימוש הגובר ב-AI בסביבת העבודה מביא עמו גם כן סיכונים רבים. 57% ממנהלי האבטחה מדווחים על עלייה בתקריות אבטחה הקשורות בשימוש ב-AI, מה שמעורר את הדחיפות ביצירת גישה מבוקרת ומוגנת לכלים מבוססי AI. כבר 61% מהארגונים מתחילים להטמיע גישות מבוקרות לכלי GenAI. 77% מהארגונים מאמינים שה-AI יאפשר להאיץ את הניטור, הבקרה והתגובה בתחום האבטחה.

כלים רבים יותר הם לא בהכרח אבטחה טובה יותר

הניהול של מספר פתרונות אבטחה ממספר ספקים יוצר אתגרים תפעוליים משמעותיים. בממוצע, ארגונים משתמשים בחמישה כלי אבטחה לניהול זהויות משלושה ספקים שונים, וכן בארבעה כלים לניהול גישה לרשת משלושה ספקים נוספים. שילוב כזה של כלים מוביל לא פעם לאבטחה שאינה רציפה ומקשה על אכיפת מדיניות אחידה וכן זיהוי ותגובה יעילים לאירועי אבטחה.

במקום לשפר את רמת האבטחה, ארגונים שמשתמשים במעל לשישה כלים לניהול זהויות וגישה לרשת דיווחו על עלייה באירועי פריצה חמורים – 79% חוו עלייה, זאת לעומת 45% בלבד מבין הארגונים שמשתמשים בחמישה כלים או פחות. אתגרים אלו גם מאותתים על החשיבות שיש בשיתוף פעולה בין צוותי האבטחה השונים (צוותי ניהול רשת וצוותי אבטחת זהויות), ו-98% ממנהלי האבטחה מאמינים שהם לא יוכלו להרשות לעצמם קיומם של צוותים מנותקים. בנוסף, 96% מעדיפים גישה כוללת ואינטגרטיבית לניהול זהויות וניהול גישה לרשת, במקום פתרונות נפרדים ומבודדים.

כל אלה מעלים את החשיבות בניהול מערכת אבטחה אחודה – 97% מאמינים שזה ישפר את רמת האבטחה וחווית המשתמש, בעוד ש-83% מאמינים שזה יאיץ את אסטרטגיית ה-Net Zero שלהם.

סוכני AI לכל איום

מיקרוסופט מכריזה היום על דור הפיתוחים הבא ב-Security Copilot הכוללים סוכני AI באבטחה שיפעלו באופן עצמאי ואוטומטי בתחומים קריטיים כמו פישינג, אבטחת מידע וניהול זהויות.

סוכני AI הכרחיים בשל העלייה בקצב המתקפות והאיומים. ה-Threat Intelligence במיקרוסופט מעבד כ-84 טריליון אותות ביום וכ-7,000 מתקפות על סיסמאות בשנייה. כמו כן, מתקפות פישינג נותרו אחד האיומים הנפוצים והמזיקים ביותר. בין ינואר לדצמבר 2024, מיקרוסופט זיהתה יותר מ-30 מיליארד הודעות פישינג המיועדות ללקוחות. נפח המתקפות הללו מציף את צוותי האבטחה המסתמכים על תהליכים ידניים והגנות נקודתיות ומקוטעות, מה שמקשה גם על בדיקה ומתן מענה מידי. הסוכנים שמיקרוסופט מכריזה עליהם היום, כמו סוכן מיון מתקפות פישינג, יכול להתמודד עם התראות ומתקפות פישינג שגרתיות, ולשחרר את צוותי האבטחה להתמקד באיומים מורכבים יותר ואמצעי אבטחה יזומים.

במסגרת הכרזה זו מיקרוסופט משיקה שישה סוכנים המאפשרים לצוותי האבטחה לטפל באופן אוטומטי במשימות אבטחה ו-IT בהיקפים גדולים. סוכנים אלו משתלבים בטבעיות עם פתרונות האבטחה הקיימים של מיקרוסופט, מאיצים את תגובות ההגנה, מתעדפים סיכונים ומגבירים את יעילות הארגון והפרואקטיביות. להלן פירוט על ששת הסוכנים, וביניהם גם כאלה אשר פותחו על ידי צוותים במיקרוסופט ישראל מחקר ופיתוח:

  • סוכני AI למיון פישינג ב-Microsoft Defender אנליסטים מתמודדים עם מאות התראות פישינג מדי שבוע, וכל התראה כזו דורשת סינון וניתוח של המקרה שלוקחים בממוצע כ-30 דק' לפחות. סוכני ה-AI החדשים, אשר פותחו על ידי הצוותים בישראל, פותרים זאת בצורה אוטומטית ופשוטה על ידי מיון של התראות על פישינג כדי להפריד בין איומים אמיתיים לבין אזעקות שווא. בנוסף, הסוכן מספק הסברים ותובנות על החלטותיו ומשפר את פעולותיו בהמשך הדרך על בסיס משוב מהאנליסטים.
  • סוכני AI למיון של התראות ב-Microsoft Purview מנהלי אבטחת מידע (אדמינים) מתמודדים לרוב עם נפח משמעותי של התראות מדי יום ומסוגלים לתת מענה רק ל-60% מהם בשל מגבלת זמן ומשאבים. כעת, סוכני ה-AI החדשים יהיו אחראיים על מניעה של דליפת מידע, התרעות על סיכונים פנימיים, תעדוף של אירועים קריטיים ושיפור מתמיד בהתאם למשוב האדמין.
  • סוכני אופטימיזציה של גישה מותנית ב-Microsoft Entra – הסוכנים עוקבים אחר משתמשים חדשים או אפליקציות שאינן מכוסות על ידי מדיניות האבטחה הקיימת, מזהים עדכונים נחוצים כדי לסגור פערי אבטחה, וממליצים על תיקונים מהירים לצוותי האבטחה.
  • סוכנים לתיקון פגיעות בMicrosoft Intune – הסוכנים מבצעים בקרה ותעדוף של נקודות תורפה ומשימות לתיקון כדי לטפל בבעיות תצורה של אפליקציות ומדיניות אבטחה וכן מזרזים תיקונים במערכת ההפעלה של Windows, זאת באישור המנהל (האדמין).
  • סוכני התדרוך המודיעיני ב-Security Copilot – אוספים באופן אוטומטי מודיעין איומים רלוונטי ועדכני, בהתאם למאפיינים הייחודיים של הארגון ולרמת החשיפה שלו לאיומים. בתוך ארבע עד חמש דקות הם מייצרים דוח על הסיכונים והתעדופים הנדרשים בשל סיכונים אלה.

סביבת GenAI בטוחה יותר לעובדים

ככל שארגונים מאמצים GenAI בקצב מהיר יותר, כך עולה גם הדחיפות להבן ולנהל את האימוץ והשימוש ב-AI בסביבת העבודה. החששות העיקריים מתמקדים בשיתוף עודף מידע ודליפת נתונים, איומים ופגיעויות חדשות שנוצרות כתוצאה מה-AI ועמידה בדרישות רגולטוריות משתנות. פתרונות האבטחה של מיקרוסופט נבנו מראש עם התאמה לעידן ה-AI ומספקים מענה מדויק לאתגרים אלו. היום מיקרוסופט מכריה על יכולות מתקדמו חדשות שיאפשרו לארגונים להגן על עצמם:

  • ניהול חוסן אבטחתי של AI בסביבות מרובות מודלים, עננים ופלטפורמות – ארגונים המפתחים פתרונות AI ייחודיים נדרשים לחזק את ההגנה של המודלים שלהם כאשר הם משתמשים בסביבות מרובות מודלים, פלטפורמות ועננים. לשם כך, ב-Microsoft Defender  יורחבו יכולות ניהול החוסן האבטחתי של ה-AI. בעזרת התממשקות בין-עננית (Multi-Cloud) ארגונים יוכלו לקבל תמונה מלאה על החוסן האבטחתי של מערכות ה-AI מרגע כתיבת הקוד ועד שלה ההרצה, וזאת במעבר על פני Azure, AWS, ו-Google Cloud.
  • יכולות חדשות לזיהוי והגנה מפני איומים מתפתחים בעולמות ה-AI הבנה המלאכותית מביאה עמה סיכונים חדשים – שטחי תקיפה חדשים ופגיעויות שטרם זוהו. בהתאם, ה-Microsoft Defender צפוי להכיל יכולות חדשות ומועשרות לזיהוי איומים הקשורים ל-AI ויתמודדו עם סיכונים כמו מתקפות Indirect Prompt Injection, חשיפת מידע רגיש, ניצול ארנקים דיגיטליים ודומיהם, ועוד. באמצעות מנגנוני זיהוי אלה, אנליסטים במרכזי SOC יוכלו להגן טוב יותר על אפליקציות AI מותאמות אישית
  • בקרות חדשות למניעת גישה מסוכנת ודליפת מידע לאפליקציות AI לא מאושרות (Shadow AI) – ככל שגברה הפופולריות של שימוש בכלי ה-GenAI ארגונים רבים מגלים שימוש נרחב באפליקציות AI שלא אושרו על ידי צוותי האבטחה או ה-IT. תופעה זו שנקראת Shadow AI מעלה משמעותית את הסיכון לדליפת מידע רגיש. לטובת כך, מיקרוסופט מכריזה על מסנן אתרי אינטרנט ב-Microsoft Entra המאפשרת לארגונים לאכוף בקרות גישה מפורטות לפי משתמשים וקבוצות, ולקבוע אילו אפליקציות AI מותרות לשימוש. בנוסף לכך, מיקרוסופט גם הכריזה על בקרות DLP (דלף מידע) בדפדפן ה-Edge עבור עסקים. היכולת החדשה מאפשרת לצוותי אבטחה לאכוף מדיניות למניעת הזנת מידע רגיש ישירות לתוך אפליקציות Gen AI וביניהן: ChatGPT, Copilot Chat, DeepSeek, Google Gemini.
  • הגנה מתקדמת מפני פישינג בתוך Microsoft Teams למרות שדוא"ל נותר ערוץ המתקפה העיקרי למתקפות פישינג, גם תוכנות שיתוף הפכו יעד מבוקש עבור התוקפים. לכן, Microsoft Defender for Office 365 תספק הגנה גם בתוך Teams מפני מתקפות פישינג ואיומי סייבר מתקדמים אחרים. ההגנה תכלול: נטרול בזמן אמת של קישורים וקבצים מצורפים זדוניים, הגנה מובנית בתוך Teams ונראות מלאה לאנליסטים ואנשי SOC בנוגע לניסיונות תקיפה, כולל התראות ונתוני אירועים דרך Microsoft Defender.

חקירות וניתוח אבטחת מידע מבוססי AI

נדרשים בממוצע 292 ימים – כמעט שנה (!) – כדי לזהות ולנתח פרצות מידע הכוללות אישורי גישה גנובים. במהלך אותם חודשים קריטיים, ארגונים נדרשים להבין מה הסיכון הכולל לארגון שלהם. חקירה של תקריות אבטחה הינה עבודה סיזיפית, הכוללת סקירה של כלי אבטחה מרובים, עבודה ידנית ומעבר על מידע ונתונים רבים. מעבר לכך, בעת חקירה מועברים נתונים וראיות לבעלי עניין וגורמים נוספים המציבים סיכון להפרה של מדיניות האבטחה בארגון.

היום, מיקרוסופט מכריזה על פתרון חדש Microsoft Purview Data Security Investigations (DSI) פתרון מבוסס AI שנועד להתמודד עם אירועי אבטחת מידע מורכבים ולסייע לצוותי אבטחת מידע להבין את המצב במהירות, לזהות מקרים ספציפיים, לבצע מחקר תוכן מעמיק ולצמצם את הסיכונים הכרוכים בחשיפת מידע רגיש. כמו כן, ניתן לשתף פעולה באופן מאובטח עם צוותים נוספים ולשפר את יכולות הניטור והתגובה – כל זאת תוך פישוט משימות שבעבר היו מורכבות ודרשו זמן ומשאבים רבים.

צוותי פיתוח בישראל אחראיים על האינטגרציה של יכולות ה-DSI עם מוצרים מוכרים של מיקרוסופט ומאפשרים למשתמשים לפתוח חקירות אבטח מידע מוגדרות מראש ישירות מתוך Microsoft Defender XDR ו-Microsoft Purview Insider Risk Management. הממצאים של ה-DSI מעניקים ל-SOC את השקיפות הקריטית הנדרש להבנה של השפעת האירוע על המידע, כך שניתן יהיה לתעדף את הטיפול על בסיס רגישות וחומרת דלף המידע.

נטרול מתקפות וניהול שטח תקיפה בצורה חכמה יותר

Microsoft Defender XDR ו- Microsoft Defender for Cloud Apps מסייעים לצוותי האבטחה בזיהוי וטיפול בפעילויות חשודות הקשורות ל-OAuth. יכולות נטרול אוטומטי של מתקפות (Automatic Attack Disruption), אשר בפיתוחם השתתפו גם צוותים מישראל, מאפשרות לשבש מתקפות בעיצומן ולמנוע את התפשטותן.

נטרול מתקפה הוא מנגנון תגובה מובנה ואוטומטי שמפסיק מתקפות בזמן אמת, באמצעות ניתוח כוונות התוקף, זיהוי נכסים שנפגעו ובידודם מידית. יכולת ההגנה העצמית הזו מתבססת על איתותים מתואמים מ-Microsoft Defender XDR, מודיעין איומים עדכני, ומודלים של בינה מלאכותית ולמידת מכונה, שמאפשרים לחזות את מסלול התקיפה ברמת דיוק של מעל ל-99% ולחסום את הצעד הבא של התוקף – עוד לפני שהוא בוצע. התגובה כוללת פעולות כמו בידוד מכשירים, השבתות חשבונות משתמשים או השבתת אפליקציות OAuth זדוניות.

  • פלטפורמת ניהול שטח התקיפה עכשיו כוללת גם תובנות על אפליקציות OAuthבשנים האחרונות, Microsoft Defender for Cloud Apps זיהה עלייה בתוקפים המנצלים אפליקציות OAuth כדי גשת למידע רגיש באפליקציות ארגוניות חשובות כמו Microsoft Team, SharePoint, Outlook ועוד. כדי להתמודד עם האיום הזה, מיקרוסופט, בהובלת צוותי פיתוח ישראלים, משלבים את אפליקציות ה-OAuth והחיבורים שלהן בתוך פלטפורמת ניהול שטח התקיפה (Microsoft Exposure Management), כחלק ממשקי ניתוח מסלול התקיפה (attack path) ומיפוי שטח התקיפה (attack surface map).

מוזמנות ומוזמנים להמשיך לעקוב אחר מרכז הפיתוח והמחקר של מיקרוסופט בישראל גם בעמודים שלנו בפייסבוק, באינסטגרם, בטיקטוק ובאתר שלנו.