Améliorer l'Intelligence des Menaces dans les Entreprises Modernes
Dans le paysage complexe des entreprises d'aujourd'hui, l'intelligence des menaces présente des défis majeurs. Les attaquants opèrent à différents niveaux, et des données critiques ainsi que des outils sont souvent dispersés, ce qui entraîne une diminution de l'observabilité. Les équipes de sécurité doivent évaluer de nombreux alertes sans toujours être au courant des dernières vulnérabilités, des comportements des attaquants ou des campagnes.
Êtes-vous Prêts pour des Solutions Pilotées par l'IA ?
Avec le lancement de Google Threat Intelligence, Google Cloud vise à doter même les plus petites équipes des dernières informations sur le paysage des menaces. Cette plateforme innovante, présentée lors de la conférence RSA, combine les capacités de Gemini AI avec les données de VirusTotal et Mandiant.
« Il faut avoir le bon équilibre entre la largeur et la profondeur en matière d'intelligence des menaces », a déclaré Eric Doerr, VP de l'Ingénierie pour la Sécurité Cloud chez Google Cloud. Traditionnellement, les fournisseurs se concentrent sur un aspect ou l'autre, laissant de nombreuses organisations assembler leurs propres solutions.
Intégration des Piliers Fondamentaux de l'Intelligence des Menaces
VirusTotal compte une communauté mondiale de plus d'un million d'utilisateurs qui partagent collectivement des informations sur des indicateurs de menaces, tels que des fichiers et des URL. Les chercheurs de Mandiant analysent en continu le comportement des acteurs malveillants. « Ces deux piliers de l'intelligence des menaces se rejoignent harmonieusement », a expliqué Doerr, renforcé par la visibilité étendue de Google sur les menaces. Avec une protection pour 4 milliards d'appareils et 1,5 milliard de comptes email, Google bloque 100 millions de tentatives de phishing par jour. Cette infrastructure robuste fournit des informations précieuses sur les menaces liées à Internet et aux emails, les reliant à des campagnes malveillantes plus larges.
De plus, Google exploite l'intelligence des menaces open-source fournie par la communauté de sécurité, permettant aux clients de bénéficier d'une analyse complète des IOC, d'une surveillance des menaces externes, d'une gestion de la surface d'attaque et d'une protection contre les risques numériques.
« Bien qu'il n'y ait pas de pénurie d'intelligence des menaces, le défi réside dans la contextualisation et l'opérationnalisation de cette intelligence pour des organisations spécifiques », a déclaré Dave Gruber, analyste principal au sein du groupe de stratégie d'entreprise de TechTarget. En intégrant VirusTotal et Mandiant avec Google et l'IA, les équipes de sécurité obtiennent une intelligence des menaces accessible et exploitable.
Débloquer la Puissance de Gemini
Au cœur de la nouvelle plateforme d'intelligence des menaces se trouve Gemini 1.5 de Google. Ce modèle permet aux utilisateurs de poser des questions et de recevoir des réponses via une recherche approfondie dans les dépôts d'intelligence des menaces de Google, Mandiant et VirusTotal.
Les capacités de Gemini incluent l'extraction d'entités, la recherche automatique d'informations open-source (OSINT) et la catégorisation des rapports de menaces sectoriels. Ces données sont transformées en collections de connaissances, comprenant des profils d'acteurs malveillants, des tactiques, des techniques, des procédures (TTP) et des indicateurs de compromission (IOC).
Doerr a souligné que Gemini 1.5 prend en charge une fenêtre contextuelle longue allant jusqu'à 1 million de tokens, simplifiant ainsi le processus traditionnellement laborieux de rétro-ingénierie des malwares, une compétence en forte demande dans un contexte de pénurie mondiale de talents en cybersécurité. Fait remarquable, lors d'un test récent, Gemini a analysé le code de l'attaque par ransomware WannaCry en seulement 34 secondes, une analyse qui prenait auparavant 7 heures.
La capacité à gérer des fenêtres contextuelles plus larges signifie que l'IA peut désormais analyser plus de 99 % des échantillons de malwares de manière efficace, représentant une avancée significative dans les capacités d'intelligence des menaces.
Optimisation des Flux de Travail d'Intelligence des Menaces
À mesure que de nouvelles menaces apparaissent chaque mois, y compris des attaques comme Scattered Spider, les analystes de sécurité sont bombardés d'alertes, certaines authentiques et d'autres des faux positifs. Google Threat Intelligence permet aux utilisateurs de condenser rapidement d'importants ensembles de données, d'analyser des fichiers suspects et de réduire les tâches manuelles. Les menaces entrantes sont intégrées automatiquement dans les flux de travail, améliorant la sensibilisation situationnelle des équipes de sécurité.
Doerr a souligné la caractéristique unique de la plateforme : l'enrichissement automatique des données pour les menaces émergentes à haute priorité. « Au lieu de réagir simplement aux alertes, les équipes peuvent sauter la phase de recherche extensive », a-t-il noté.
De nombreux clients de Google n'ont pas d'équipes dédiées à l'intelligence des menaces ; certains fonctionnent avec de petites équipes jonglant avec des données provenant de multiples sources, ce qui peut retarder les évaluations définitives des menaces. « Il peut falloir des jours ou des semaines pour déterminer leur statut de sécurité », a expliqué Doerr. Cette plateforme accélère considérablement leurs temps de recherche et de réponse.
Pour les grandes entreprises disposant d'équipes de menaces dédiées, la plateforme automatise les tâches répétitives, permettant aux équipes de se concentrer sur les menaces spécifiques à leurs secteurs.
Doerr a souligné que les menaces existent dans une « pyramide », allant des attaques larges comme les ransomwares à celles ciblant des secteurs spécifiques comme la santé. Une grande partie du temps des équipes de sécurité est consacrée à des menaces de niveau inférieur, négligeant souvent les risques plus ciblés. « Il n'y a pas assez de personnel hautement qualifié pour gérer efficacement toutes les menaces », a-t-il conclu, soulignant l'importance de rationaliser les opérations pour renforcer la sécurité organisationnelle.
Classement
