Улучшение Угрозовой Интеллектуальной Системы в Современных Предприятиях
В условиях современной сложной бизнес-среды угроза безопасности представляет собой значительные вызовы. Атакующие действуют на разных уровнях, а критически важные данные и инструменты часто разбросаны, что снижает наблюдаемость.
Команды безопасности сталкиваются с трудной задачей оценки множества предупреждений, при этом не всегда располагая актуальной информацией о последних уязвимостях, поведении атакующих или кампаниях.
Готовы ли вы к решениям на основе ИИ?
С запуском Google Threat Intelligence Google Cloud стремится предоставить даже самым маленьким командам актуальные данные о ситуации с угрозами. Эта инновационная платформа, представленная на конференции RSA, объединяет возможности Gemini AI с данными от VirusTotal и Mandiant.
«Необходимо найти правильный баланс между широтой и глубиной в области угрозового интеллекта», — заявил Эрик Доэр, вице-президент по инженерии в области облачной безопасности Google Cloud. Традиционно провайдеры сосредотачивались либо на одной, либо на другой стороне, оставляя многим организациям собирать собственные решения.
Интеграция Основных Столпов Угрозового Интеллекта
VirusTotal имеет глобальное сообщество из более чем 1 миллиона пользователей, которые совместно обмениваются информацией об индикаторах угроз, включая файлы и URL-адреса. Исследователи Mandiant постоянно изучают и анализируют поведение злоумышленников. «Эти два столпа угроза интеллекта прекрасно сочетаются», — пояснил Доэр, добавив, что это усиливается обширной видимостью Google в области угроз. С защитой 4 миллиардов устройств и 1.5 миллиарда учетных записей электронной почты Google блокирует 100 миллионов попыток фишинга ежедневно. Эта мощная инфраструктура предоставляет неоценимую информацию о интернет-угрозах и угрозах через электронную почту, связывая их с более широкими зловредными кампаниями.
Более того, Google использует открытый угрозовый интеллект, предоставленный сообществом безопасности, позволяя клиентам воспользоваться обширным анализом индикаторов компрометации (IoC), внешним мониторингом угроз, управлением атакующими поверхностями и защитой цифровых рисков.
«Хотя угроза интеллекта не является дефицитом, проблема заключается в контекстуализации и оперативной реализации этой информации для конкретных организаций», — отметил Дэйв Грубер, главный аналитик группы стратегий для предприятий TechTarget. Интегрируя VirusTotal и Mandiant с Google и ИИ, команды безопасности получают доступный и действующий угрозовый интеллект.
Раскрытие Потенциала Gemini
В центре новой платформы угрозового интеллекта находится Gemini 1.5. Эта модель позволяет пользователям задавать вопросы и получать ответы благодаря обширному поиску в репозиториях угроза интеллекта Google, Mandiant и VirusTotal.
Возможности Gemini включают извлечение сущностей, автоматическое сканирование интернета для поиска открытых источников информации (OSINT) и категorizую отчетов о угрозах в индустрии. Эти данные преобразуются в коллекции знаний, содержащие профили злоумышленников, тактики, технологии, процедуры (TTP) и индикаторы компрометации (IoC).
Доэр подчеркнул, что Gemini 1.5 поддерживает долгий контекстный анализ, достигающий до 1 миллиона токенов, упрощая традиционно трудоемкий процесс реверс-инжиниринга вредоносного ПО — навык, востребованный в условиях глобального дефицита специалистов по кибербезопасности. Удивительно, что в ходе недавнего теста Gemini проанализировал код атаки программ-вымогателей WannaCry всего за 34 секунды — анализ, который ранее занимал 7 часов.
Способность обрабатывать более крупные контекстные окна позволяет ИИ эффективно анализировать более 99% образцов вредоносного ПО, что является значительным шагом вперед в возможностях угрозового интеллекта.
Оптимизация Процессов Угрозового Интеллекта
С появлением новых угроз каждый месяц, включая атаки, такие как Scattered Spider, аналитики безопасности сталкиваются с множеством предупреждений, среди которых есть как подлинные, так и ложные срабатывания. Google Threat Intelligence позволяет пользователям быстро сокращать объемы больших данных, анализировать подозрительные файлы и минимизировать ручные задачи. Входящие угрозы автоматически интегрируются в рабочие процессы, улучшая ситуацию с осведомленностью команд безопасности.
Доэр подчеркнул уникальную особенность платформы: автоматическое обогащение данных для высокоприоритетных возникающих угроз. «Вместо того чтобы просто реагировать на предупреждения, команды могут пропустить обширный этап исследований», — отметил он.
Многие клиенты Google не имеют специализированных команд угрозового интеллекта; некоторые работают с небольшими командами, обрабатывающими данные из множества источников, что может задерживать окончательную оценку угроз. «Определение их статуса безопасности может занять дни или недели», — объяснил Доэр. Эта платформа значительно ускоряет их исследования и время реагирования.
Для крупных предприятий с выделенными командами угроз платформа автоматизирует рутинные задачи, позволяя командам сосредоточиться на решении уникальных для их секторов угроз.
Доэр отметил, что угрозы существуют в «пирамиде», начиная от широких атак, таких как программное обеспечение-вымогатель, и заканчивая целевыми угрозами в конкретных отраслях, таких как здравоохранение. Большая часть времени команд безопасности уходит на управление менее приоритетными угрозами, часто упуская из виду более целенаправленные риски. «Недостаточно высококвалифицированных специалистов для эффективного управления всеми угрозами», — заключил он, подчеркивая важность оптимизации операций для повышения уровня безопасности в организациях.
Рейтинг
