Bedrohungserkennung in modernen Unternehmen optimieren
In der heutigen komplexen Unternehmenslandschaft stellt die Bedrohungserkennung erhebliche Herausforderungen dar. Angreifer agieren auf verschiedenen Ebenen, und kritische Daten sowie Werkzeuge sind häufig verstreut, was die Beobachtbarkeit verringert. Sicherheitsteams stehen vor der anspruchsvollen Aufgabe, zahlreiche Warnmeldungen zu bewerten, ohne immer über die neuesten Schwachstellen, Angreiferverhalten oder Kampagnen informiert zu sein.
Sind Sie bereit für KI-gestützte Lösungen?
Mit der Einführung von Google Threat Intelligence möchte Google Cloud selbst kleinste Teams mit den neuesten Erkenntnissen zur Bedrohungslandschaft ausstatten. Diese innovative Plattform, die auf der RSA-Konferenz enthüllt wurde, kombiniert die Fähigkeiten von Gemini AI mit Daten von VirusTotal und Mandiant.
„Es ist wichtig, das richtige Gleichgewicht zwischen Breite und Tiefe bei der Bedrohungserkennung zu finden“, erklärte Eric Doerr, VP Engineering für Cloud Security bei Google Cloud. Traditionell haben Anbieter sich auf einen Aspekt konzentriert, wodurch viele Organisationen eigene Lösungen zusammenstellen mussten.
Die Kernpfeiler der Bedrohungserkennung integrieren
VirusTotal verfügt über eine globale Gemeinschaft von über 1 Million Nutzern, die gemeinsam Informationen über Bedrohungsindikatoren, einschließlich Dateien und URLs, austauschen. Die Forscher von Mandiant untersuchen fortlaufend das Verhalten von Bedrohungsakteuren. „Diese beiden Säulen der Bedrohungserkennung ergänzen sich nahtlos“, erklärte Doerr weiter, verstärkt durch Googles umfangreiche Sichtbarkeit auf Bedrohungen. Mit einem Schutz für 4 Milliarden Geräte und 1,5 Milliarden E-Mail-Konten blockiert Google täglich 100 Millionen Phishing-Versuche. Diese robuste Infrastruktur liefert wertvolle Einblicke in internet- und emailbasierte Bedrohungen und verbindet sie mit umfangreicheren bösartigen Kampagnen.
Darüber hinaus nutzt Google Open-Source-Bedrohungsinformationen der Sicherheitsgemeinschaft, sodass Kunden von umfassenden IoC-Analysen, externem Bedrohungsmonitoring, Angriffsflächenmanagement und digitalem Risikoschutz profitieren können.
„Es mangelt nicht an Bedrohungsinformationen, die Herausforderung liegt darin, diese Informationen für spezifische Organisationen zu kontextualisieren und zur Anwendung zu bringen“, sagte Dave Gruber, Principal Analyst bei TechTarget’s Enterprise Strategy Group. Durch die Integration von VirusTotal und Mandiant mit Google und KI erhalten Sicherheitsteams zugängliche und umsetzbare Bedrohungsinformationen.
Die Kraft von Gemini entfesseln
Im Mittelpunkt der neuen Bedrohungserkennungsplattform steht Googles Gemini 1.5. Dieses Modell ermöglicht es Nutzern, Fragen zu stellen und Antworten durch eine umfassende Suche in den Bedrohungsdatenbanken von Google, Mandiant und VirusTotal zu erhalten.
Die Fähigkeiten von Gemini umfassen die Extraktion von Entitäten, das automatische Durchsuchen des Internets nach Open-Source-Intelligenz (OSINT) sowie die Kategorisierung von Bedrohungsberichten. Diese Daten werden in Wissenssammlungen umgewandelt, die Profile von Bedrohungsakteuren, Taktiken, Techniken, Verfahren (TTPs) und Indikatoren für Kompromittierungen (IoCs) enthalten.
Doerr betonte, dass Gemini 1.5 ein großes Kontextfenster von bis zu 1 Million Tokens unterstützt, wodurch der traditionell arbeitsintensive Prozess der Malware-Analyse optimiert wird – eine Fähigkeit, die angesichts des globalen Mangels an Cybersicherheitspersonal sehr gefragt ist. Bemerkenswert ist, dass Gemini während eines jüngsten Tests den Code des WannaCry-Ransomware-Angriffs in nur 34 Sekunden analysierte – eine Analyse, die zuvor 7 Stunden in Anspruch nahm.
Die Fähigkeit, größere Kontextfenster zu verarbeiten, bedeutet, dass die KI nun über 99% der Malware-Proben effektiv analysieren kann, was einen signifikanten Fortschritt in der Bedrohungserkennung darstellt.
Arbeitsabläufe in der Bedrohungserkennung optimieren
Mit neuen Bedrohungen, die monatlich auftauchen, darunter Angriffe wie Scattered Spider, sind Sicherheitsexperten mit Warnmeldungen konfrontiert, von denen einige echt und andere Fehlalarme sind. Google Threat Intelligence ermöglicht es Nutzern, umfangreiche Datensätze schnell zu verdichten, verdächtige Dateien zu analysieren und manuelle Aufgaben zu reduzieren. Eingehende Bedrohungen werden automatisch in Arbeitsabläufe integriert, was das situative Bewusstsein für Sicherheitsteams erhöht.
Doerr hob das einzigartige Merkmal der Plattform hervor: Die automatische Anreicherung von Daten für hochpriorisierte Bedrohungen. „Statt lediglich auf Warnmeldungen zu reagieren, können Teams die umfangreiche Forschungsphase überspringen“, bemerkte er.
Viele Google-Kunden verfügen nicht über dedizierte Bedrohungserkennungsteams; einige arbeiten mit kleinen Teams, die Daten aus mehreren Quellen jonglieren, was definitive Bedrohungsbewertungen verzögern kann. „Es kann Tage oder Wochen dauern, um ihren Sicherheitsstatus zu bestimmen“, erklärte Doerr. Diese Plattform beschleunigt ihre Forschungs- und Reaktionszeiten erheblich.
Für große Unternehmen mit eigenen Bedrohungsteams automatisiert die Plattform Routineaufgaben, sodass sich die Teams auf die spezifischen Bedrohungen ihrer Branchen konzentrieren können.
Doerr wies darauf hin, dass Bedrohungen in einer „Pyramide“ existieren, die von allgemeinen Angriffen wie Ransomware bis hin zu spezifischen Bedrohungen für Branchen wie das Gesundheitswesen reicht. Ein großer Teil der Zeit der Sicherheitsteams wird auf niedrigere Bedrohungen verwendet, wodurch die gezielteren Risiken oft übersehen werden. „Es gibt nicht genügend hochqualifizierte Fachkräfte, um alle Bedrohungen effektiv zu verwalten“, schloss er und betonte die Bedeutung der Optimierung von Abläufen zur Stärkung der Unternehmenssicherheit.
Rangliste
