谷歌推出新款Gemini驱动的威胁情报平台，整合Mandiant与VirusTotal数据

提升现代企业的威胁情报能力

在当今复杂的企业环境中，威胁情报面临重大挑战。攻击者在多个层级活动，关键数据和工具往往分散，这导致可见性的降低。安全团队不得不面对评估大量警报的艰巨任务，却未必及时了解最新的漏洞、攻击者行为或活动。

您准备好迎接基于人工智能的解决方案了吗？

谷歌云推出的谷歌威胁情报旨在使即便是最小的团队也能获取最新的威胁环境洞察。这一创新平台在RSA会议上首次发布，结合了Gemini AI的能力与来自VirusTotal和Mandiant的数据。谷歌云安全工程副总裁埃里克·多尔（Eric Doerr）表示：“在威胁情报方面，获取广度与深度的平衡至关重要。”传统上，提供商往往偏重某一方面，导致许多组织不得不自行拼凑解决方案。

整合核心威胁情报支柱

VirusTotal拥有超过100万名全球用户，集体共享有关威胁指标的情报，如文件和网址。Mandiant的研究人员不断调查和分析威胁行为。多尔解释称：“这两个威胁情报支柱无缝融合”，并得到谷歌对威胁的广泛可见性的进一步增强。谷歌为40亿台设备和15亿个邮箱账户提供保护，每天阻止1亿次网络钓鱼企图。这一强大的基础设施为互联网和电子邮件威胁提供了宝贵的见解，并将其与更广泛的恶意活动关联。

此外，谷歌利用由安全社区贡献的开源威胁情报，使客户能够受益于全面的IOC分析、外部威胁监控、攻击面管理和数字风险防护。科技媒体TechTarget企业战略组的首席分析师戴夫·格鲁伯（Dave Gruber）指出：“虽然威胁情报并不缺乏，但挑战在于如何为特定组织进行情境化和实用化。”通过整合VirusTotal和Mandiant与谷歌和人工智能，安全团队获得了易于获取和可操作的威胁情报。

释放Gemini的潜力

新威胁情报平台的核心是谷歌的Gemini 1.5。该模型允许用户通过广泛搜索谷歌、Mandiant和VirusTotal的威胁情报库来提出问题并获得答案。Gemini的功能包括实体提取，自动对网络上的开源情报（OSINT）进行搜索，并对行业威胁报告进行分类。这些数据转化为知识集合，涵盖威胁行为者档案、策略、技术、程序（TTP）和妥协指标（IoC）。

多尔强调，Gemini 1.5支持多达100万字节的上下文窗口，简化了传统的恶意软件逆向工程过程——在全球网络安全人才短缺的背景下，该技能需求旺盛。令人瞩目的是，在最近一次测试中，Gemini在仅34秒内分析了WannaCry勒索软件的攻击代码，而此前这一分析耗时长达7小时。能够处理更大上下文窗口意味着，该人工智能现在能有效分析超过99%的恶意软件样本，使其在威胁情报能力方面取得重大进展。

简化威胁情报工作流

随着新威胁每月出现，包括像Scattered Spider这样的攻击，安全分析师面临大量警报的轰炸，其中一些是真实的，而另一些则是误报。谷歌威胁情报允许用户快速缩减庞大的数据集，分析可疑文件，并减少手动任务。新出现的威胁会自动整合进工作流，增强安全团队的态势感知。

多尔强调，该平台的独特功能是对高优先级新兴威胁的数据自动增强。“团队不再仅仅对警报作出反应，而是可以跳过繁琐的研究阶段，”他指出。许多谷歌客户缺乏专门的威胁情报团队；一些只是小团队，需处理来自多个来源的数据，这可能导致对威胁的明确评估延迟。“确定安全状态可能需要数天或数周，”多尔解释道。该平台显著加快了研究和响应时间。

对于拥有专门威胁团队的大型企业而言，该平台能够自动化日常任务，使团队能够专注于处理其特定行业的威胁。多尔指出，威胁存在于一个“金字塔”中，从广泛的勒索软件攻击到针对特定行业的攻击，如医疗保健。安全团队的时间往往被低层威胁占据，容易忽视更具针对性的风险。“没有足够的高技能人员来有效管理所有威胁，”他总结道，强调了简化操作以增强组织安全的重要性。