[ad_1]
Узнайте, как компании ответственно интегрируют ИИ в производство. Это мероприятие, доступное только по приглашению, в Сан-Франциско будет посвящено пересечению технологий и бизнеса. Узнайте, как вы можете принять участие здесь.
Анализ угроз может оказаться затруднительным в условиях современного предприятия: злоумышленники работают на всех уровнях, данные и инструменты разбросаны, а наблюдаемость размыта.
Командам безопасности приходится выбирать, по каким оповещениям принимать меры, и они не всегда в курсе последних исследований уязвимостей, поведения и кампаний злоумышленников.
Запуская сегодня Google Threat Intelligence, Google Cloud стремится предоставить даже самым маленьким командам новейшие знания об угрозах. Новая платформа интегрирует Gemini AI и данные Google с VirusTotal и Mandiant.
При анализе угроз «вы должны иметь правильную широту и глубину», — сказал VentureBeat Эрик Дорр, вице-президент по разработке облачной безопасности в Google Cloud.
Обычно провайдеры предлагают только одно или другое, отметил он. До этого момента «многие компании чувствовали себя вынужденными собрать воедино свою собственную широту и глубину».
Объединение «двух важнейших столпов разведки угроз»
Глобальное сообщество VirusTotal, насчитывающее более 1 миллиона пользователей, собирает информацию об индикаторах угроз, включая файлы и URL-адреса. Исследователи Mandiant постоянно исследуют поведение субъектов угроз.
По словам Доерра, эти два понятия «очень логично» объединяются, и их возможности еще больше подкрепляются высокой прозрачностью Google: компания защищает 4 миллиарда устройств и 1,5 миллиарда учетных записей электронной почты и блокирует 100 миллионов попыток фишинга в день. По словам компании, это дает Google «обширный массив датчиков» угроз в Интернете и электронной почте, который позволяет им связывать точки со вредоносными кампаниями.
Google также использует данные об угрозах из открытых источников, которыми обменивается сообщество безопасности.
Все это позволяет Google Threat Intelligence помогать клиентам, когда дело доходит до анализа индикаторов компрометации (IoC), мониторинга внешних угроз, управления поверхностями атак и защиты от цифровых рисков.
«Хотя недостатка в доступной информации об угрозах нет, задача для большинства состоит в том, чтобы контекстуализировать и использовать данные, относящиеся к их конкретной организации», — сказал Дэйв Грубер, главный аналитик группы стратегии предприятия TechTarget.
По его словам, VirusTotal и Mandiant сегодня являются «двумя наиболее важными столпами анализа угроз». Их интеграция с Google и искусственным интеллектом «предлагает командам безопасности новые средства для использования действенной информации об угрозах для лучшей защиты своих организаций».
Поиск на базе Gemini
По словам Дорра, Gemini 1.5 от Google является важной частью новой платформы анализа угроз. Пользователи могут задавать модельные вопросы, на которые она отвечает на основе поиска в Google, Mandiant и обширном хранилище информации об угрозах VirusTotal.
Извлечение объектов на основе Gemini также автоматически сканирует Интернет в поисках информации из открытых источников (OSINT) и классифицирует онлайн-отчеты об отраслевых угрозах. Затем они преобразуются в коллекции знаний с соответствующими пакетами поиска и реагирования, полученными на основе различных мотиваций и целей, тактик, методов и процедур (TTP), профилей субъектов угроз, наборов инструментов и IoC.
Дорр отметил, что Gemini 1.5 имеет длинное контекстное окно с поддержкой до 1 миллиона токенов. Это может помочь упростить часто трудоемкий процесс обратного проектирования вредоносного ПО (который требует определенных навыков, которые особенно трудно найти в условиях глобальной нехватки специалистов в области кибербезопасности).
Примечательно, что модель обработала весь декомпилированный код файла вредоносного ПО для атаки криптовымогателя WannaCry в мае 2017 года. За один 34-секундный проход Gemini провела анализ вредоносного ПО и даже определила его аварийный выключатель (процесс, который в 2017 году , на выполнение ушло 7 часов, вспоминает Дорр).
Раньше небольшие контекстные окна требовали выделения заметных фрагментов вредоносного ПО, но это затрудняло анализ этого ИИ поколения, поскольку, естественно, у него не было всех фрагментов.
Когда инженеры достигли окна в 1 миллион токенов, возник вопрос: «Это просто крутая научная вещь или это действительно имеет значение?»
Оба оказались правдой. «Это контекстное окно на самом деле является очень важным достижением», — сказал Дорр. «Это открывает целую категорию вариантов использования, которые раньше были просто невозможны».
Он отметил, что более 99% образцов вредоносного ПО теперь можно анализировать с помощью Gemini. «Он очень хорошо справляется с широким спектром вредоносных программ», — сказал Дорр.
Упрощение анализа угроз
От программ-вымогателей до Scattered Spider, «каждый месяц происходит еще одна широко освещаемая атака», — сказал Дорр. Аналитики безопасности засыпаны обнаружениями, некоторые из которых являются реальными, а некоторые являются ложными срабатываниями.
Теперь с помощью Google Threat Intelligence пользователи могут быстро сжимать большие наборы данных, анализировать подозрительные файлы и упрощать ручные задачи. Новые угрозы автоматически передаются по каналам на основе данных VirusTotal и Mandiant и подключаются к рабочим процессам, поэтому команды безопасности имеют больше, чем просто «теоретическое понимание» угроз, объяснил Доерр.
Отличительной особенностью платформы является то, что «когда возникает возникающая угроза действительно высокого приоритета, «обратите на это внимание прямо сейчас»», Google автоматически обогащает все, что они знают о ней, сказал он.
«Это требует много работы: «Я вижу предупреждение, теперь мне нужно провести кучу исследований, чтобы решить, важно ли это».
По словам Дорра, у большинства клиентов Google нет специальных групп по анализу угроз. У некоторых есть небольшие команды, но они получают данные от множества поставщиков, а затем выполняют кучу ручной работы.
«Могут пройти дни или недели с момента обнаружения новой угрозы до момента, когда они смогут окончательно сказать: «Она присутствует или отсутствует в нашей среде», «мы в безопасности или мы не в безопасности», — сказал Дорр. «Какие бы исследования они ни проводили, они могут сделать это быстрее и быстрее достичь результата».
Для крупных предприятий со специальными группами по борьбе с угрозами платформа может автоматизировать большую часть их работы, чтобы они могли «углубиться в изучение уникальных угроз для них».
Доерр отметил, что существует «пирамида угроз», начиная от групп вымогателей, которые распыляют и молятся, до субъектов угроз, нацеленных на конкретные вертикали, такие как телекоммуникации или здравоохранение. Большую часть времени команды безопасности проводят «внизу пирамиды по сравнению с вершиной пирамиды» (или в точке, где угрозы наиболее специфичны для их компании или вертикали).
«Ни у кого нет достаточного количества высококвалифицированных людей», — сказал Дорр. «Он выполняет работу по защите компании».
[ad_2]
Источник
