brațul cibersecurității Microsoft a făcut un pas major în demonstrarea modului în care inteligența artificială poate identifica proactiv vulnerabilitățile software îngropate adânc în sistemele fundamentale. Folosind platforma sa de copilot de securitate, compania a descoperit defecte în trei bootloaders open-source pe scară largă- grub2 , U-Boot , și barebox -Acestea sunt esențiale pentru inițierea sistemelor de operare în mediile linux, dispozitivele încorporate, iar infrastructura de cloud. Cercetătorii prin cod sursă complex într-o manieră iterativă vizată. Efortul a dezvăluit vulnerabilități exploatabile, incluzând o revărsare întreagă în GRUB2 care ar putea ocoli UEFI Secure Boot, o garanție cheie în integritatea sistemului.
Copilot de securitate primește tactic
Copilotul de securitate nu a fost doar codul de revizuire pasivă- a fost în mod activ în conducerea investigației . Inginerii Microsoft au elaborat prompturi pentru a explora zonele cu risc ridicat de cod de încărcare și a folosit răspunsurile Copilotului pentru a-și perfecționa întrebările în timp real. Vulnerabilitatea în Grub2 a fost găsită în timpul acestei bucle de feedback, în special atunci când AI a semnalat o anomalie în modul în care modulele Grub2 gestionează alocarea memoriei în timpul relocării cu compensări mari.
După cum a explicat Microsoft în anunțul său, „Copilotul de securitate a ajutat la expediere a expediției de vulnerabilitate la Identificare în BootLoaders prin rafinarea și iTetering, care a profitat în cele din urmă la identificarea de vulnerabilitate în ceea ce privește bootfinators, și iTeran a problemelor exploatabile.”
Vulnerabilitățile descoperite în U-Boot și Barebox, deși sunt serioase, s-au dovedit a fi mai puțin exploatabile din cauza necesitării accesului fizic, așa cum s-a menționat în Raportare de Bleepingcomputer . Totuși, Microsoft a împărtășit toate rezultatele cu întreținătorii de surse open-source respective pentru remediere și lucrează îndeaproape cu acestea pentru a coordona eforturile de patching.
consolidarea lanțului de aprovizionare software
Bootloaders, în timp ce rareori în lumina reflectoarelor sunt esențiale pentru calcularea modernă. Ei se execută înainte de sistemul de operare, ceea ce înseamnă că o vulnerabilitate la acest nivel ar putea permite actorilor rău intenționați să compromită sistemul înainte de activarea oricăror apărări convenționale. Acesta este motivul pentru care secure boot-o caracteristică a uefi -este atât de critic: asigură doar codul de încredere, semnat, în timpul pornirii.
Microsoft a subliniat că procesul său asistat de AI a ieșit la iveală și de afectarea logică. Deși nu orice constatare a fost considerată o severitate ridicată, ele contribuie colectiv la atacarea reducerii suprafeței.
și, mai important, fluxul de lucru bazat pe AI a oferit o cale structurată de revizuire și triaj a acestor probleme, economisind timp pentru întreținerea open-source, care ar putea să nu aibă resurse de calitate întreprinderii la dispoziția lor. Aceste instrumente au permis copilotului să identifice structurile de cod riscante pe care auditul manual tradițional și fuzzing le-ar fi ratat.
în cadrul strategiei de apărare a AI de extindere a Microsoft
Analiza bootloaderului a fost dezvăluită la doar o săptămână după ce Microsoft a anunțat o extindere majoră a Copilotului de securitate, prin adăugarea agenților AI specializați. Acești agenți sunt construiți pentru a automatiza sarcini precum detectarea phishingului, remedierea vulnerabilității, optimizarea accesului la identitate și analiza riscurilor privilegiate.
Fiecare agent este integrat în produse precum Microsoft Defender, Intune și Entra. De exemplu, agentul de remediere a vulnerabilității prioritizează în mod proactiv și răspunde la problemele emergente, în timp ce agentul de informare a informațiilor privind amenințarea oferă analize curate echipelor de securitate. Aceste modele AI sunt concepute pentru a învăța din feedback-ul administratorului și pentru a-și perfecționa precizia.
Reacția Copilotului de securitate nu se încheie cu instrumentele interne ale Microsoft. Cinci agenți dezvoltați de terți-de oneTrust, Aviatrix, BlueVoyant, Tanium și Fletch-sunt integrați în ecosistemul mai larg pentru a spori răspunsul la încălcare, prioritizarea alertelor și analiza cauzelor rădăcină de rețea. Și având în vedere că compania prelucrează acum peste 84 de trilioane de semnale de securitate pe zi și interceptează aproximativ 7.000 de atacuri de parolă pe secundă, este ușor de văzut de ce.
poate AI să țină pasul cu amenințările din lumea reală?
la fel de puternice pe cât sunt aceste instrumente, descoperirea de la AI, încă se confruntă cu limitări. Fals pozitive rămân o preocupare, iar erorile subtile, bazate pe context, ar putea scăpa de detectare dacă modelele nu sunt acordate cu exactitate. Microsoft a abordat acest lucru prin crearea de bucle de feedback care permit agenților să învețe din clasificări incorecte și să-și perfecționeze rezultatele viitoare în consecință.
Una dintre întrebările ridicate de această cercetare este dacă același proces poate fi scalat în alte domenii. Bootloatoarele sunt relativ statice și au structuri bine definite, dar codul aplicației la nivel superior conține adesea defecte mai nuanțate. Rămâne de văzut dacă Copilot poate menține precizia în astfel de scenarii.
există și problema costurilor. Copilot de securitate are în prezent un preț la 2,920 USD pe lună pentru utilizatorii întreprinderii , ceea ce o face o opțiune de înaltă calitate pentru organizații cu infrastructuri complexe. Prețul reflectă capacitatea sa de a ingera telemetrie la scară și de a răspunde la viteza mașinii, dar adoptarea între firme mai mici poate fi mai lentă.
bootloatoare astăzi, totul mâine?
prin descoperirea vulnerabilităților în straturile fundamentale ale calculului, AI-ul Microsoft a furnizat un studiu clar al cazului de proactivare, ari-asassisted securitate. Acestea nu erau bug-uri la nivel de suprafață-ele au fost pândite în încărcătoarele care sunt de bază pentru milioane de sisteme.
Cu un copilot de securitate evoluând de la un ajutor la un participant autonom la cercetarea vulnerabilității, rolul AI în apărarea cibernetică nu mai este speculativ. Devine operațional. Pe măsură ce platforma se maturizează, valoarea sa va fi măsurată nu numai prin cât de rapid poate detecta defecte, dar prin cât de eficient ajută organizațiile-atât mari, cât și mici-să-și lase stivele de la început.
