Google在RSA大会上宣布推出Google Threat Intelligence,这是一个全新的威胁情报解决方案,结合了Mandiant的专业知识、VirusTotal的社区资源,以及Google从全球数十亿设备和电子邮件中收集的情报。借助这一产品,企业能够更快地获得相关威胁的洞察,并保护自己免受威胁。
Google 威胁情报的用途示例:
-
识别和防御网络钓鱼攻击:
- 假设一家企业遭遇了钓鱼电子邮件攻击,员工可能收到包含恶意链接或附件的电子邮件。
- Google Threat Intelligence可以利用其庞大的电子邮件监控网络,检测并阻止这些恶意邮件的传播。
- 如果某个用户误点了链接或下载了恶意文件,系统会立即识别可疑行为并发出警报,告知安全团队迅速采取措施,防止进一步损害。
-
检测复杂的恶意软件:
- 某企业检测到网络系统中有不明程序活动,怀疑是恶意软件。
- 借助Google Threat Intelligence中的Gemini工具,可以将不明代码上传,利用其AI分析功能,全面审查并生成情报报告。
- 通过结合VirusTotal的全球数据和Mandiant的专业知识,系统能够识别恶意软件的类型、攻击目的,并提供具体的威胁指标(IoCs),帮助企业采取有效防御措施。
-
对抗高级持续性威胁(APT):
- 企业怀疑被某个APT组织定向攻击,因为检测到与已知APT战术相似的行为模式。
- Google Threat Intelligence汇总全球Mandiant团队的经验与调查结果,识别APT组织的攻击战术、技术与程序(TTPs)。
- 安全团队通过这些情报可了解攻击的目的、过程与潜在目标,从而制定有效的应对策略,确保关键数据不受损害。
Gemini 分析潜在恶意代码,并提供其发现的摘要
主要功能:
-
广泛威胁覆盖:
- 设备和电子邮件网络: Google利用其全球40亿台设备和15亿个电子邮件账户的覆盖范围,每天阻止1亿次网络钓鱼攻击,为威胁情报提供庞大的数据基础。
- 攻击活动关联: 通过其广泛的用户和网络监控,可以将检测到的恶意活动与具体的攻击活动联系起来,形成完整的威胁情报。
-
Mandiant的专业知识:
- 前线威胁调查: Mandiant的专家团队每年进行超过1100次调查,深入研究攻击者的策略、战术和技术,帮助企业应对全球威胁。
- 人类监控的威胁情报: 专家团队通过对全球威胁组织的实时监控,分析其行为变化,为企业提供关于持续威胁的深入见解。
-
VirusTotal的社区情报:
- 众包数据: 来自100多万用户的全球社区实时贡献潜在威胁指标(如文件和链接),可以迅速识别最新攻击。
- 数据比对: 系统会将社区报告的潜在威胁与现有数据库进行比对,形成全面的威胁情报。
-
AI驱动的Gemini工具:
- 恶意代码分析: 使用Gemini对可疑代码进行分析和解构,生成综合性报告,使企业更快发现潜在威胁。
- 实体提取工具: 自动从互联网爬取与威胁相关的开源情报,汇集到知识库中,包括动机、目标、战术与指标。
- 长上下文窗口: 提供最多100万个token的分析窗口,能够处理复杂的恶意软件,并将其解构结果快速归纳为威胁指标(IoCs)。
-
威胁分析与管理:
- 外部威胁监控: 通过实时监控外部环境,及时发现针对企业的攻击企图和可疑行为。
- 攻击面管理: 检测企业网络中可能被利用的漏洞或攻击途径,并制定防护策略。
- 数字风险保护: 监控企业的数字资产,防止数据泄露和品牌受损。
-
深度的威胁情报报告:
- 威胁简报与建议: 汇总Google威胁情报团队多年的报告数据,提供简洁但深刻的威胁情报分析。
- 威胁应对支持: 为企业的安全团队提供优先应对方案,并可嵌入到客户的现有工作流程中。