Google ha lanciato Google Threat Intelligence, una soluzione di cyber intelligence. Fornisce alle aziende informazioni sulle minacce informatiche a un’elevata velocità. Informazioni che possono essere immediatamente utilizzate per intraprendere azioni concrete di difesa e mitigazione.
L’offerta è stata presentata al RSA Conference 2024 di San Francisco. Combina le competenze di Mandiant, la società di cyber security acquisita di recente, con l’enorme database di malware crowdsourced di VirusTotal e la vasta visibilità sui segnali di minaccia raccolti da Google attraverso miliardi di dispositivi e account email.
Gemini alla base di Threat Intelligence
L’anima di Threat Intelligence è Gemini. L’agente IA di Google consente ricerche conversazionali nell’enorme repository di informazioni sulle minacce dell’azienda. Secondo Dave Gruber di Enterprise Strategy Group, “Google fornisce oggi due dei più importanti pilastri dell’intelligence sulle minacce con VirusTotal e Mandiant. Integrarli in un’unica offerta, migliorata dall’IA e dall’intelligence sulle minacce di Google, offre ai team di sicurezza un nuovo modo per rendere operativa l’intelligence per proteggere meglio le loro organizzazioni.“
Threat Intelligence combina 3 elementi: gli insight del team di risposta agli incidenti e ricerca sulle minacce di Mandiant; l’enorme footprint di utilizzatori e dispositivi di Google; il database di malware crowdsourced di VirusTotal.
Fonti del Threat Intelligence
Nello specifico, Threat Intelligence sfrutta i dati offerti da:
- gli insight di Google sulle minacce; provengono dalla protezione di 4 miliardi di dispositivi e 1,5 miliardi di account email. Ogni giorno vengono bloccati 100 milioni di tentativi di phishing.
- dati ottenuti dalle 1.100 indagini annuali condotte dagli esperti di risposta agli incidenti Mandiant contro sofisticati attori di minaccia.
- l’intelligence sulle minacce curata manualmente dagli esperti globali di Mandiant che monitorano i gruppi di attori di minaccia.
- l’intelligence crowdsourced dalla comunità di oltre 1 milione di utilizzatori di VirusTotal che contribuisce con potenziali indicatori di minaccia.
- l’open source threat intelligence proveniente dalle recenti scoperte della community di sicurezza.
Questa combinazione offre a Google Threat Intelligence una visione ampia sulle minacce e i dettagli necessari per prendere decisioni informate. Ciò consente di aiutare a proteggere le organizzazioni attraverso il monitoraggio delle minacce esterne, la gestione della superficie di attacco, la protezione dei rischi digitali, l’analisi degli indicatori di compromesso (IOC) e molto altro.
L’IA al servizio della cybersecurity
Ma la vera potenzialità di Threat Intelligence risiede nell’uso dell’IA per semplificare i processi di ricerca sulle minacce e accelerare le risposte. Tradizionalmente, la messa in atto di una Intelligence ad una minaccia richiede un intenso lavoro manuale che può rallentare la capacità di risposta in evoluzione fino a giorni o settimane.
Grazie a Gemini, Google ha potenziato i processi di ricerca, migliorato le capacità di difesa e ridotto drasticamente i tempi per identificare e proteggersi dalle nuove minacce. Ora è possibile condensare enormi set di dati in pochi secondi; quindi analizzare rapidamente file sospetti e semplificare le sfidanti attività manuali di intelligence sulle minacce.
Una delle funzionalità più impressionanti è il modello di linguaggio Gemini 1.5 Pro. Elaborando fino a 1 milione di token contestuali contemporaneamente (finestra di contesto), Gemini semplifica drasticamente il processo altamente tecnico e laborioso di reverse engineering del malware. Il reverse engineering è una delle tecniche di analisi più avanzate a disposizione dei professionisti della cybersecurity.
In un caso d’uso concreto, Google ha riferito che Gemini 1.5 Pro è riuscito a processare l’intero codice decompilato del malware WannaCry in un’unica elaborazione. Ha impiegato solo 34 secondi per fornire la sua analisi e identificare l’emergenza. Un successo se si considera che WannaCry è stato uno dei più devastanti attacchi ransomware degli ultimi anni.
Non solo analizza il codice, Gemini alimenta anche uno strumento di estrazione delle entità che automatizza la fusione e l’arricchimento dei dati. Può esplorare automaticamente il web alla ricerca di OSINT (Open Source INTelligence) rilevante; quindi classifica i report di minaccia del settore online per poi convertire queste informazioni in collezioni di conoscenza. Le collezioni includono pacchetti di ricerca e risposta correlati a motivazioni, obiettivi, tattica, tecniche e procedure (TTP); oltre ad attori, toolkit e indicatori di compromissione.
Conclusione
Google Threat Intelligence rappresenta un’evoluzione importante nel campo dell’intelligence sulle minacce informatiche. Combina l’esperienza umana consolidata con la potenza trasformativa dell’intelligenza artificiale. La fusione lavorativa tra Mandiant, VirusTotal e della stessa Google, uniti alle capacità di Gemini offrono una difesa veloce ed efficace contro le minacce informatiche.
Il servizio Google Threat Intelligence è già disponibile per le aziende che ne vogliono far richiesta, e fa parte del portfolio completo di sicurezza di Google Cloud Security, che include Google Security Operations , Mandiant Consulting , Security Command Center Enterprise e Chrome Enterprise . Le aziende possono usare le stesse funzionalità che Google utilizza quotidianamente per proteggere i suoi servizi.
