谷歌正在将多个威胁情报流与 Gemini 生成人工智能模型相结合,以创建新的云服务。 Google 威胁情报服务旨在帮助安全团队快速准确地整理大量数据,以便更好地保护组织免受网络攻击。
本周在旧金山举行的 RSA 会议上推出的 Google 威胁情报服务吸收了 Mandiant 威胁情报小组的功能、VirusTotal 在线恶意软件检测和分析服务,以及 Google 通过保护数十亿设备和电子邮件帐户免受威胁而获得的可见性。
同时,该服务利用来自安全社区的开源情报。然后,它集成了 Google 的 Gemini 1.5 Pro 生成人工智能模型,帮助安全专家理解所有信息,使他们能够更快地识别和分析可疑文件等威胁,自动执行耗时的手动任务,并通过自然语言处理解决问题。
该服务现已推出,是 Google Cloud 更大安全产品组合的一部分,旨在减少与处理威胁情报相关的时间、精力和成本,同时让团队更全面地了解安全形势。
通过将我们对威胁形势的全面看法与 Gemini 相结合,我们增强了威胁研究流程,增强了防御能力,并减少了识别和防御新威胁所需的时间。客户现在能够在几秒钟内压缩大型数据集,快速分析可疑文件,并简化具有挑战性的手动威胁情报任务。
结合人工智能和网络安全
谷歌威胁情报还使谷歌云的安全功能与微软的 Copilot for Security展开更激烈的竞争,并且是向网络安全工具注入生成人工智能功能的更大行业趋势的一部分。这也是一个蓬勃发展的市场。根据市场研究公司 Statista 的数据,2020 年网络安全人工智能市场规模为 105 亿美元,预计2027 年将达到 463 亿美元。
网络安全组织越来越依赖人工智能与更传统的工具相结合,例如防病毒保护、数据丢失预防、欺诈检测、身份和访问管理、入侵检测、风险管理和其他核心安全领域。
该技术处理大量数据并发现模式的能力使其能够比人类更快地检测和分析实际威胁。由于误报率极低,它可以优先响应,识别和标记网络钓鱼活动中使用的可疑电子邮件,并模拟社会工程攻击。这家全球投资银行写道,这样做应该有助于安全团队在网络犯罪分子发现之前发现潜在缺陷。
鉴于威胁组织也在做同样的事情来磨练他们的攻击,因此组织使用人工智能也很重要。
多元情报流
对于谷歌来说,其能够获取的威胁情报数量是新服务的关键。它本身收集的见解来自于保护 40 亿台设备,而 15 亿个电子邮件帐户是关键部分。
该供应商每天阻止 1 亿次网络钓鱼尝试,为谷歌提供了庞大的传感器阵列以及对互联网和电子邮件传播威胁的独特视角,使我们能够将这些点连接回攻击活动。
还有 Mandiant 的事件响应专家和威胁情报分析师,谷歌于 2022 年以 54 亿美元收购了 Mandiant。Mandiant 的加入使该公司能够“在全面的事件响应、战略准备和技术保证方面提供经过验证的全球专业知识,帮助组织在事件发生之前、期间和之后减轻威胁并降低业务风险”。
Mandiant 每年调查 1,100 多起事件。
谷歌的 VirusTotal 拥有超过 100 万用户,他们贡献了潜在威胁指标,以提供对新兴攻击的实时洞察。
添加生成人工智能
Gemini 1.5 Pro AI 模型可以支持多达 100 万个代币,为其提供最长的上下文窗口,并使其能够比人类更快地运行流程来逆向工程恶意软件。 该模型能够处理 WannaCry 勒索软件蠕虫的恶意软件文件的反编译代码(该蠕虫于 2017 年针对世界各地运行 Windows 的系统),并在 34 秒内创建了分析。它还确定了该恶意软件的终止开关。
我们还提供了 Gemini 驱动的实体提取工具来自动化数据融合和丰富,它可以自动抓取网络以获取相关开源情报(OSINT),并对在线行业威胁报告进行分类。然后,它将这些信息转换为知识集合,并从动机、目标、战术、技术和程序 (TTP)、参与者、工具包和妥协指标 (IoC) 中提取相应的搜索和响应包。
总的来说,谷歌威胁情报可以在几秒钟内跑完十多年的威胁报告和产品综合摘要。