微軟宣布 Security Copilot 將加入 AI agents 功能,可在網路釣魚、資料安全、身分識別管理等關鍵領域主動提供協助。隨著駭客攻擊越來越頻繁且手法複雜,單靠人力已經無法應對,導入 AI agents,已成為現代資安不可或缺的一環。
以最常見、且具有高度破壞力的網路威脅之一「網路釣魚」為例,光是 2024 年一年內,微軟就偵測到超過 300 億封針對客戶的釣魚郵件。如此龐大的攻擊量,資安團隊若仍仰賴人工處理和分散式防禦方式,往往難以及時辨識威脅郵件,並有效運用資料洞察來進行整體風險管理。
這次推出的 Microsoft Security Copilot「網路釣魚分類 agent」,可以自動處理日常釣魚警示與攻擊事件,幫助釋放人力,讓資安人員能專注在更複雜、前瞻性的防護工作,而這只是 agents 重塑資安模式的眾多應用之一。
根據統計,Microsoft Threat Intelligence 每天處理高達 84 兆筆資安訊號,顯示網路威脅的規模正以指數方式成長,例如每秒就有 7,000 次密碼攻擊。在這樣的環境下,全面擴大 AI agents 的應用勢在必行。微軟將在 2025 年 4 月推出五款安全 agents,並搭配五款由合作夥伴打造的 agents 預覽版。
微軟推出智慧安全 agents
這五款全新 agents,建構在現有 Security Copilot 之上,能協助資安與 IT 團隊自動處理大量任務,並與 Microsoft Security 的其他解決方案無縫整合。這些 agents 具備高安全性、可學習、能配合既有流程運作,且全面符合微軟的零信任架構。
資安團隊能完全掌握 agents 的運作方式,進一步加速應變流程、釐清風險優先順序、提升處理效率,全面強化組織的資安防護能力。
Security Copilot agents 將在微軟全方位的安全平台上推出:
- Microsoft Defender 網路釣魚分類 Agent:能精準判斷警示是否屬實,辨識真正威脅與誤報,同時提供判斷依據與管理員回饋機制,持續學習優化。
- Microsoft Purview 中的警示分類 Agents:用於協助分類資料外洩與內部風險的警示,能優先處理重大事件,提升整體準確性。
- Microsoft Entra 條件存取最佳化 Agent:可偵測未受保護的新用戶或應用程式,自動建議並執行身份安全策略更新。
- Microsoft Intune 弱點修補 Agent:主動監控並協助修補系統漏洞,推送 Windows 更新與修補設定。
- Security Copilot 威脅情報摘要 Agent:可依據組織特性與威脅風險,自動生成相關且即時的威脅情報。
合作夥伴推出的五大 agents
資安是一場團隊戰,微軟致力於打造開放平台,讓合作夥伴能共同建立更大價值。本次,五家合作夥伴也推出了全新 agents,並將整合進 Security Copilot:
- OneTrust 的隱私違規回應 Agent:可快速分析資料外洩事件,並提供符合法規的因應建議,協助隱私團隊迅速應對。
- Aviatrix 的網路監控 Agent:針對 VPN、閘道器或 Site2Cloud 連線異常,自動分析故障原因並彙整摘要。
- BlueVoyant 的 SecOps 工具 Agent:評估資安營運中心(SOC)控管現況,提出具體優化建議。
- Tanium 的警示分類 Agent:提供每則警示的背景資訊,協助分析師迅速做出正確判斷。
- Fletch 的任務優化 Agent:預測並優先處理最重要的威脅,減少警示疲勞,提升工作效率。
Microsoft Purview 強化 AI 資料安全調查功能
Microsoft Purview 亦推出全新功能「資料安全事件調查」,透過 AI 深層內容分析,能快速辨識與敏感資料相關的風險事件,協助調查人員與其他團隊安全協作、加快處理流程。這項功能將與 Microsoft Defender 的資安事件功能、以及 Purview 的內部風險管理機制整合,預計於 2025 年 4 月開放預覽。
進一步加強生成式 AI 的安全性與治理
根據最新的報告《在 AI 時代保障員工權限》,57% 的組織表示,使用 AI 引發的資安事件有所增加。儘管大多數組織已經意識到需要進行 AI 工具管控,但仍有 60% 的組織尚未啟動相關措施。保障 AI 的安全性依然是一項相對新的挑戰,許多領導者關切的問題包括:如何防止數據過度共享和洩漏;如何降低新興 AI 威脅與漏洞;以及如何遵守不斷變動的法規要求。微軟的安全解決方案專為 AI 設計,旨在幫助每個組織解決這些問題。
針對多模型和多雲環境的 AI 安全態勢管理
對於開發自定義 AI 解決方案的組織來說,特別是從多個模型中獲得的 AI,這些模型可能運行於不同的 AI 平台與雲端服務中,因此強化 AI 安全態勢管理至關重要。為此,Microsoft Defender 擴展了 AI 安全態勢管理,除了微軟 Azure 和亞馬遜 AWS,現在還新增了 Google VertexAI 以及Azure AI Foundry 模型目錄中的所有模型。預計在 2025 年 5 月提供預覽,涵蓋範圍包括 Gemini、Gemma、Meta Llama、Mistral 以及自定義模型。透過新的多雲互通功能,組織將能夠在微軟 Azure、亞馬遜 AWS 和 Google Cloud 等環境中,獲得更全面的代碼到運行時的 AI 安全態勢可見性。微軟 Defender 將幫助組織啟動 AI 安全態勢管理,在多模型與多雲環境中快速建立 AI 安全防護的基礎。
新型威脅檢測與防護
隨著 AI 的發展,出現了新的風險,包括新的網絡攻擊面和未知的漏洞。全球應用安全計劃(OWASP)已明確指出生成式 AI 應用的主要風險並提出了應對措施。自 2025 年 5 月起,微軟 Defender 將提供對 OWASP 所識別的多項風險,例如間接提示注入攻擊、敏感數據暴露與錢包濫用等風險的新型檢測和強化檢測。這些新型檢測將幫助安全運營中心(SOC)分析師更有效地保護自建的 AI 應用,並為 Azure OpenAI 服務及 Azure AI Foundry 模型目錄中的模型提供新的防護。
防止風險存取和數據洩漏到影子 AI (Shadow AI) 應用的控制措施
隨著生成式 AI 的迅速普及,許多組織發現存在大量未經 IT 或安全團隊批准的 AI 應用。這些未經授權、未受保護的 AI 應用造成了「影子 AI」現象,顯著增加了敏感數據洩漏的風險。為此,我們宣布 Microsoft Entra 網路存取中的 AI 網頁篩選功能正式上線,幫助實施精細化存取控制,減少影子 AI 風險,並透過強制執行政策來管控哪些用戶和群組可以存取不同類型的 AI 應用。
在建立了授權存取 AI 應用的政策後,下一層防禦是防止用戶將敏感數據洩漏到 AI 應用中。為此,我們將在微軟 Edge for Business 中開放預覽 Microsoft Purview 瀏覽器數據防漏(DLP)控制功能,這將幫助安全團隊強制執行 DLP 政策,防止敏感數據被輸入生成式 AI 應用中,首批支援的應用包括 ChatGPT、Copilot Chat、DeepSeek 和 Google Gemini。
微軟 Teams 新增釣魚防護功能 助力更安全的協作
儘管電子郵件仍然是最常見的釣魚攻擊途徑,協作軟體也已經成為了新的攻擊目標。Microsoft Defender for Office 365 預計將於 2025 年 4 月正式上線,為 Teams 用戶提供釣魚攻擊及其他先進網路威脅的防護。透過內嵌保護功能,Teams 將加強對惡意網址的防範,包括附件和連結的即時分析。為了讓 SOC 團隊能夠全面了解相關攻擊嘗試和事件,微軟 Defender 將提供相關警報和數據。
微軟將繼續在安全領域進行創新,秉持「安全未來倡議」的原則,提供強大的端到端保護,為防禦者提供業界領先的 AI 技術,並幫助每個組織使用有效的工具來保障 AI 的安全性與治理。
