Aprimorando a Inteligência de Ameaças nas Empresas Modernas
No atual cenário empresarial complexo, a inteligência de ameaças apresenta desafios significativos. Os atacantes operam em diversos níveis, e dados e ferramentas críticos costumam estar dispersos, resultando em uma diminuição da observabilidade. As equipes de segurança enfrentam a árdua tarefa de avaliar inúmeros alertas sem estarem sempre atualizadas sobre as últimas vulnerabilidades, comportamentos de atacantes ou campanhas.
Você Está Preparado para Soluções Baseadas em IA?
Com o lançamento do Google Threat Intelligence, o Google Cloud visa equipar até as menores equipes com as mais recentes percepções sobre o panorama de ameaças. Esta plataforma inovadora, apresentada na conferência RSA, combina as capacidades da Gemini AI com dados do VirusTotal e Mandiant. “É preciso encontrar o equilíbrio certo entre abrangência e profundidade quando se trata de inteligência de ameaças”, afirmou Eric Doerr, VP de Engenharia de Segurança na Nuvem do Google. Tradicionalmente, os provedores têm se concentrado em um aspecto em detrimento do outro, deixando muitas organizações a montarem suas próprias soluções.
Integrando os Pilares Fundamentais da Inteligência de Ameaças
O VirusTotal conta com uma comunidade global de mais de 1 milhão de usuários que compartilham coletivamente inteligência sobre indicadores de ameaças, incluindo arquivos e URLs. Os pesquisadores da Mandiant investigam e analisam continuamente o comportamento de atores de ameaças. “Esses dois pilares da inteligência de ameaças se unem perfeitamente”, explicou Doerr, ampliado pela vasta visibilidade do Google em relação às ameaças. Com proteção para 4 bilhões de dispositivos e 1,5 bilhão de contas de e-mail, o Google bloqueia 100 milhões de tentativas de phishing diariamente. Essa infraestrutura robusta fornece insights inestimáveis sobre ameaças na internet e e-mail, conectando-as a campanhas malignas mais amplas.
Além disso, o Google aproveita a inteligência de ameaças de código aberto contribuída pela comunidade de segurança, permitindo que os clientes se beneficiem de análises abrangentes de IoCs, monitoramento de ameaças externas, gestão da superfície de ataque e proteção contra riscos digitais. “Embora não faltem dados de inteligência de ameaças, o desafio está em contextualizar e operacionalizar essa inteligência para organizações específicas”, disse Dave Gruber, analista principal do TechTarget’s Enterprise Strategy Group. Ao integrar VirusTotal e Mandiant com o Google e a IA, as equipes de segurança obtêm inteligência de ameaças acessível e acionável.
Desbloqueando o Poder da Gemini
No centro da nova plataforma de inteligência de ameaças está a Gemini 1.5 do Google. Este modelo permite que os usuários façam perguntas e recebam respostas através de uma vasta pesquisa nos repositórios de inteligência de ameaças do Google, Mandiant e VirusTotal. As capacidades da Gemini incluem extração de entidades, escaneamento automático da web em busca de inteligência de código aberto (OSINT) e categorização de relatórios de ameaças do setor. Esses dados são transformados em coleções de conhecimento, completas com perfis de atores de ameaças, táticas, técnicas, procedimentos (TTPs) e indicadores de comprometimento (IoCs).
Doerr destacou que a Gemini 1.5 suporta uma janela de contexto longa de até 1 milhão de tokens, agilizando o processo tradicionalmente trabalhoso de engenharia reversa de malware—uma habilidade de alta demanda em um contexto de escassez global de talentos em cibersegurança. Durante um teste recente, a Gemini analisou o código do ataque ransomware WannaCry em apenas 34 segundos—uma análise que anteriormente levava 7 horas. A capacidade de lidar com janelas de contexto maiores significa que a IA pode agora analisar mais de 99% das amostras de malware de forma eficaz, representando um avanço significativo nas capacidades de inteligência de ameaças.
Aprimorando Fluxos de Trabalho de Inteligência de Ameaças
À medida que novas ameaças surgem mensalmente, incluindo ataques como o Scattered Spider, os analistas de segurança são inundados com alertas, alguns genuínos e outros falsos positivos. O Google Threat Intelligence permite que os usuários rapidamente condensem grandes conjuntos de dados, analisem arquivos suspeitos e reduzam tarefas manuais. As ameaças recebidas são automaticamente integradas aos fluxos de trabalho, melhorando a conscientização situacional das equipes de segurança.
Doerr enfatizou o recurso exclusivo da plataforma: o enriquecimento automático de dados para ameaças emergentes de alta prioridade. “Em vez de apenas reagir a alertas, as equipes podem pular a extensa fase de pesquisa”, observou. Muitos clientes do Google não possuem equipes dedicadas à inteligência de ameaças; alguns operam com pequenas equipes que lidam com dados de várias fontes, o que pode atrasar avaliações definitivas de ameaças. “Pode levar dias ou semanas para determinar seu status de segurança”, explicou Doerr. Esta plataforma acelera significativamente suas pesquisas e tempos de resposta.
Para grandes empresas com equipes dedicadas de ameaças, a plataforma automatiza tarefas rotineiras, permitindo que as equipes se concentrem em abordar ameaças únicas para seus setores.
Doerr apontou que as ameaças existem em uma “pirâmide”, variando de ataques amplos, como malware, a aqueles que visam indústrias específicas, como saúde. Grande parte do tempo das equipes de segurança é gasta em ameaças de menor escala, frequentemente ignorando os riscos mais direcionados. “Não há pessoal altamente treinado suficiente disponível para gerenciar todas as ameaças efetivamente”, concluiu, destacando a importância de simplificar operações para fortalecer a segurança organizacional.