Mejorando la Inteligencia de Amenazas en Empresas Modernas
En el complejo panorama empresarial actual, la inteligencia de amenazas presenta desafíos significativos. Los atacantes operan a diferentes niveles, y los datos y herramientas críticos a menudo están dispersos, lo que reduce la capacidad de observación. Los equipos de seguridad enfrentan la ardua tarea de evaluar numerosas alertas, sin siempre estar al tanto de las últimas vulnerabilidades, comportamientos de atacantes o campañas.
¿Está Preparado para Soluciones Impulsadas por IA?
Con el lanzamiento de Google Threat Intelligence, Google Cloud busca proporcionar a incluso los equipos más pequeños, las últimas ideas sobre el panorama de amenazas. Esta innovadora plataforma, presentada en la conferencia RSA, combina las capacidades de Gemini AI con datos de VirusTotal y Mandiant. “Necesita el equilibrio adecuado entre amplitud y profundidad en la inteligencia de amenazas”, afirmó Eric Doerr, VP de Ingeniería de Seguridad en la Nube de Google Cloud. Tradicionalmente, los proveedores se han centrado en un aspecto sobre el otro, lo que ha llevado a muchas organizaciones a buscar soluciones propias.
Integrando los Pilares Fundamentales de la Inteligencia de Amenazas
VirusTotal cuenta con una comunidad global de más de 1 millón de usuarios que comparten inteligencia sobre indicadores de amenazas, incluidos archivos y URL. Los investigadores de Mandiant analizan continuamente el comportamiento de los actores de amenazas. “Estos dos pilares de la inteligencia de amenazas se integran sin problemas”, explicó Doerr, además potenciados por la amplia visibilidad de Google sobre amenazas. Con protección para 4 mil millones de dispositivos y 1.5 mil millones de cuentas de correo electrónico, Google bloquea 100 millones de intentos de phishing diarios. Esta infraestructura robusta ofrece información valiosa sobre amenazas en internet y correos electrónicos, conectándolas a campañas maliciosas más amplias.
Además, Google aprovecha la inteligencia de amenazas de código abierto proporcionada por la comunidad de seguridad, permitiendo a los clientes beneficiarse de un análisis integral de IoC, monitoreo de amenazas externas, gestión de superficie de ataque y protección contra riesgos digitales. “Si bien no hay escasez de inteligencia de amenazas, el desafío radica en contextualizar y operacionalizar esa inteligencia para organizaciones específicas”, comentó Dave Gruber, analista principal del Grupo de Estrategia Empresarial de TechTarget. Al integrar VirusTotal y Mandiant con Google y IA, los equipos de seguridad obtienen inteligencia de amenazas accesible y accionable.
Desbloqueando el Poder de Gemini
En el corazón de la nueva plataforma de inteligencia de amenazas se encuentra Gemini 1.5 de Google. Este modelo permite a los usuarios formular preguntas y recibir respuestas a través de una vasta búsqueda en Google, Mandiant y VirusTotal. Las capacidades de Gemini incluyen extracción de entidades, exploración automática de una web en busca de inteligencia de código abierto (OSINT) y categorización de informes de amenazas de la industria. Estos datos se transforman en colecciones de conocimiento, que incluyen perfiles de actores de amenazas, tácticas, técnicas, procedimientos (TTP) e indicadores de compromiso (IoC).
Doerr destacó que Gemini 1.5 admite una ventana de contexto larga de hasta 1 millón de tokens, agilizando el proceso tradicionalmente laborioso de ingeniería inversa de malware, una habilidad altamente demandada en medio de la escasez global de talento en ciberseguridad. Notablemente, en una prueba reciente, Gemini analizó el código del ataque de ransomware WannaCry en solo 34 segundos, un análisis que antes tomaba 7 horas. La capacidad de manejar ventanas de contexto más grandes significa que la IA ahora puede analizar más del 99% de las muestras de malware de manera efectiva, lo que representa un avance significativo en las capacidades de inteligencia de amenazas.
Agilizando los Flujos de Trabajo de Inteligencia de Amenazas
A medida que surgen nuevas amenazas mensualmente, incluidos ataques como Scattered Spider, los analistas de seguridad se ven inundados de alertas, algunas genuinas y otras falsos positivos. Google Threat Intelligence permite a los usuarios condensar rápidamente grandes conjuntos de datos, analizar archivos sospechosos y reducir las tareas manuales. Las amenazas entrantes se integran automáticamente en los flujos de trabajo, mejorando la conciencia situacional de los equipos de seguridad.
Doerr enfatizó la característica única de la plataforma: el enriquecimiento automático de datos para amenazas emergentes de alta prioridad. “En lugar de simplemente reaccionar a las alertas, los equipos pueden omitir la extensa fase de investigación”, comentó. Muchos clientes de Google carecen de equipos dedicados a la inteligencia de amenazas; algunos operan con equipos pequeños que manejan datos de múltiples fuentes, lo que puede retrasar evaluaciones definitivas sobre las amenazas. “Podría llevar días o semanas determinar su estado de seguridad”, explicó Doerr. Esta plataforma acelera notablemente sus tiempos de investigación y respuesta.
Para grandes empresas con equipos dedicados a amenazas, la plataforma automatiza tareas rutinarias, permitiendo que los equipos se concentren en abordar amenazas únicas para sus sectores. Doerr señaló que las amenazas existen en una “pirámide”, que van desde ataques amplios como ransomware hasta aquellos que apuntan a industrias específicas como la salud. Gran parte del tiempo de los equipos de seguridad se dedica a amenazas de menor nivel, a menudo pasando por alto riesgos más específicos. “No hay suficientes personal altamente capacitado disponible para gestionar todas las amenazas de manera efectiva”, concluyó, subrayando la importancia de optimizar las operaciones para fortalecer la seguridad organizacional.
Clasificación
