מיקרוסופט מכניסה סוכני AI לפלטפורמת Sentinel
שדרוג ענק למרכז האבטחה של החברה, שחלקה פותח במרכז המחקר והפיתוח בישראל: סוכני AI שפועלים לבד, מבינים הקשרים,ומגיבים לאירועים
מיקרוסופט סנטינל. תמונה: מיקרוסופט
בעולם הסייבר של היום, צוותי אבטחה מרגישים לעיתים קרובות שהם משחקים משחק מכור מראש. כמות ההתראות היא אינסופית, התוקפים תמיד צעד אחד קדימה, והתחושה היא שרוב הזמן מוקדש לכיבוי שריפות במקום לבניית חומות.
בדיוק את התסכול הזה מיקרוסופט שואפת לפתור. היא מהמרת שהתשובה, איך לא, מגיעה מעולמות הבינה המלאכותית ומכריזה היום (ג') על שדרוג משמעותי לפלטפורמת האבטחה Microsoft Sentinel, שבמרכזו שילוב של סוכני בינה מלאכותית (AI) אוטונומיים. המהלך נועד לשנות את אופי העבודה במרכזי תפעול אבטחה (SOC), ולאפשר להם להתמודד עם קצב ועומס האיומים הגובר על ידי אוטומציה של תהליכי זיהוי, חקירה ותגובה.
מבחינת החברה מדובר בשלב הבא באבולוציה של הפלטפורמה, שהחלה את דרכה כמערכת SIEM לאיסוף וניתוח לוגים. כעת, Sentinel מתפקדת כפלטפורמה אחודה המרכזת את כלל נתוני האבטחה של הארגון. על בסיס זה, סוכני ה-AI יכולים לפעול, לנתח את המידע בצורה הוליסטית ולבצע פעולות באופן עצמאי.
בליבת הטכנולוגיה עומד מנגנון "גרף הקשרים" (Sentinel Graph), הממפה את הישויות השונות בארגון (משתמשים, מכשירים, יישומים) ואת הקשרים ביניהן. יכולת זו מאפשרת לסוכן ה-AI להבין את "הסיפור המלא" מאחורי שרשרת התראות, לזהות נתיבי תקיפה מורכבים, ולהבדיל בין אירועים שוליים לאיומים ממשיים. התקשורת והשליטה על הסוכנים מתבצעת באמצעות פרוטוקול חדש בשם MCP.
כדי להנגיש את הטכנולוגיה, מיקרוסופט ממנפת את פלטפורמת Security Copilot. הפלטפורמה מאפשרת לצוותי אבטחה לבנות סוכנים מותאמים אישית גם ללא כתיבת קוד, באמצעות תיאור המשימה בשפה טבעית. לדוגמה, ניתן להגדיר סוכן שיטפל אוטומטית בדיווחים על פישינג, ינתח את המיילים ויפעיל תגובה מתאימה. למפתחים ניתנת האפשרות לבנות סוכנים מורכבים יותר באמצעות כלים כמו VS Code. כדי להרחיב את המערכת האקולוגית, הושקה חנות ייעודית (Microsoft Security Store), שבה שותפים כמו Zscaler ו-Accenture יכולים להציע סוכנים משלהם.
המעבר למודל עבודה מבוסס סוכנים צפוי להשפיע על תפקידו של האנליסט האנושי, שיעבור מהתעסקות במשימות חזרתיות לפיקוח על האוטומציה וטיפול באיומים מורכבים הדורשים חשיבה יצירתית. עם זאת, גישה זו של פלטפורמה אחודה מעלה גם שאלות לגבי "כבילה לספק" (Vendor Lock-in) ומחייבת פיקוח הדוק על פעולת הסוכנים כדי למנוע טעויות שעלולות לגרום נזק תפעולי.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
"השילוב בין בינה מלאכותית, סוכני AI, ויכולות הענן של Microsoft יצר מהפכה אמיתית בתחום האבטחה. הצלחנו לעבור מאבטחה תגובתית לאבטחה יזומה, שמבוססת על ניתוח מתקדם של נתונים בזמן אמת", מסר תומר ברנד, מנהל מוצר ראשי בקבוצת OneSOC, מיקרוסופט ישראל מחקר ופיתוח, "בזכות פלטפורמת Microsoft Sentinel, שמאחדת אותות אבטחה מכלל מערכות הארגון ומאפשרת בניית פתרונות מותאמים אישית, צוותי האבטחה בארגונים נהנים מייעול משמעותי של תהליכי העבודה, קיצור זמני תגובה, ואוטומציה של פעולות שבעבר בוצעו ידנית, וכל זאת תוך שיפור דיוק ומהירות ההתמודדות עם איומים".
ההכרזה של מיקרוסופט אינה עומדת לבדה ומיישרת קו עם מגמה כללית בתעשיית הסייבר של בניית פלטפורמות הגנה מאוחדות וחכמות (XDR), המשלבות אוטומציה עמוקה (SOAR) כדי להעצים את צוותי ההגנה המצומצמים אל מול נוף איומים שרק הולך ומתפתח.
