Google推出全新Gemini驅動的威脅情報平台，整合Mandiant和VirusTotal資料

提升現代企業的威脅情報

在當今複雜的企業環境中，威脅情報面臨重大挑戰。攻擊者活動層級多樣，關鍵資料和工具往往分散，導致可觀察性降低。安全團隊不得不處理大量警報，但未必能獲得最新的漏洞、攻擊者行為或活動。

您是否為人工智慧驅動的解決方案做好準備？

隨著Google威脅情報的推出，Google Cloud希望為即使是最小的團隊提供最新的威脅資訊。這個創新的平台在RSA會議上揭幕，結合了Gemini AI的能力與VirusTotal及Mandiant的數據。

“在威脅情報方面，您需要找到廣度與深度之間的平衡。” Google Cloud雲安全工程副總裁Eric Doerr表示。傳統上，供應商往往專注於某一方面，讓許多組織只能拼湊自己的解決方案。

整合威脅情報的核心支柱

VirusTotal擁有超過100萬用戶的全球社群，共同分享威脅指標的情報，包括檔案和網址。Mandiant的研究人員不斷調查和分析攻擊者行為。“這兩個威脅情報的支柱無縫結合，” Doerr解釋，並強調了Google對威脅的廣泛可見性。Google為40億設備和15億電子郵件帳戶提供保護，每天阻擋1億次釣魚攻擊。這樣的基礎設施提供了對互聯網和基於電子郵件的威脅的寶貴見解，並將其與更廣泛的惡意活動連結。

此外，Google還利用安全社群貢獻的開源威脅情報，使客戶受益於全面的IoC分析、外部威脅監控、攻擊面管理和數位風險保護。

“雖然威脅情報不乏其人，但挑戰在於為特定組織進行情境化和操作化，”TechTarget企業策略集團的首席分析師Dave Gruber說。通過將VirusTotal和Mandiant與Google及AI整合，安全團隊獲得易於訪問且可操作的威脅情報。

釋放Gemini的力量

新威脅情報平台的核心是Google的Gemini 1.5。該模型允許用戶提出問題，並通過Google、Mandiant和VirusTotal的威脅情報資料庫進行廣泛搜尋來獲得答案。

Gemini的能力包括實體提取、自動搜尋開源情報（OSINT）和分類行業威脅報告。這些數據被轉化為知識集合，包含攻擊者的資料、戰術、技術、程序 (TTPs) 及妥協指標 (IoCs)。

Doerr強調，Gemini 1.5支持長達100萬個標記的上下文窗口，簡化了傳統上耗時的惡意軟件逆向工程過程—在全球網絡安全人才短缺的背景下，這一技能需求極高。值得注意的是，在最近的一次測試中，Gemini僅用34秒便分析了WannaCry勒索病毒的攻擊代碼，而之前此分析需時7小時。

處理更大上下文窗口的能力意味著AI現在能有效地分析超過99%的惡意軟件樣本，這在威脅情報能力上是一項重大進展。

簡化威脅情報工作流程

隨著新威脅每月出現，包括Scattered Spider等攻擊，安全分析師的警報轟炸無休無止，有些是真實的，有些卻是錯誤警報。Google威脅情報幫助用戶快速縮減龐大的數據集，分析可疑檔案，減少手動任務。進入的威脅自動融入工作流程，增強安全團隊的情境知識。

Doerr強調該平台的一個獨特功能：自動增強高優先級新興威脅的數據。“團隊可以跳過繁瑣的研究階段，而不僅僅是反應警報，”他指出。

許多Google客戶缺乏專門的威脅情報團隊；有些只有小團隊，面對來自多個來源的數據，這可能延誤對威脅的最終評估。“確定安全狀況可能需要數天或數週，” Doerr解釋。該平台顯著加快了其研究和應對的時間。

對於擁有專門威脅團隊的大型企業，該平台自動化日常任務，使團隊能專注於解決行業獨有的威脅。

Doerr指出，威脅存在於一個“金字塔”中，從廣泛的攻擊，如勒索病毒，直到針對特定行業的攻擊，如醫療保健。安全團隊的大部分時間都花在低層次威脅上，往往忽視了更具針對性的風險。“管理所有威脅的高級訓練人員不足，”他總結道，強調精簡操作以加強組織安全的重要性。