谷歌押注统一安全工具以缓解 CISO 的痛点

在谷歌云 Next 大会上,除了展示众多人工智能基础设施、模型创新、客户演示和其他云计算公告外,谷歌本周还推出了新的谷歌统一安全 (GUS) 平台。该平台在其不断扩大的网络安全产品组合中带来了创新,旨在提供更好的安全成果,并与客户的安全团队建立更深层次的整合。

对企业安全领导者来说,最痛苦的问题之一是安全产品和服务环境的分散性。许多组织运行着大量复杂的单点安全解决方案,导致数据分散在各个孤岛中,对威胁形势的认识混乱甚至矛盾。这使他们容易受到知道如何利用这些漏洞的威胁者的攻击。

谷歌也感受到了这种痛点。在开幕主题演讲之前接受《计算机周刊》采访时,谷歌安全工程副总裁 Heather Adkins 表示,这显然促使了统一安全平台的开发。

"我对客户感到兴奋,因为我们公司现在提供了不同的产品," Adkins 说。"在过去20年里,我进行了无数次试图将这些产品整合在一起的对话。"

从本质上讲,GUS 整合了一系列安全产品和服务,包括威胁情报、安全运营、云安全和安全企业浏览,将它们与2022年通过收购 Mandiant 获得的能力结合起来,并将它们融合成一个由 Gemini AI 驱动的融合解决方案。

谷歌表示,这为"卓越的安全成果"奠定了基础,创建了一个单一的、可扩展的、可搜索的安全数据结构,覆盖用户的整个攻击面,提供更好的可视性以及更快的检测和响应能力,涵盖网络、终端、云和其他应用程序,所有这些都由最新的谷歌威胁情报丰富,并通过 Gemini 变得更加高效。

"统一的产品创建了这个统一的数据层,你可以随时查询," Adkins 说。"因此,如果我是一名 CISO,在杂志上读到了关于 (中国 APT) Salt Typhoon 的报道,想知道我们是否受到影响,我可以直接询问。我不需要整理威胁报告,然后去让我的 SOC (安全运营中心) 深入调查。"

"这就是它的承诺。无论你是 CISO 还是 SOC 分析师,你都可以完全改变工作流程,"她说。

IDC 安全和信任高级研究主管 Michelle Abraham 表示："谷歌统一安全代表着在实现更好的安全成果方面向前迈出了一步,它整合了浏览器行为、托管威胁搜索和安全验证,以战略性地消除覆盖差距,简化安全管理以及威胁检测和响应。"

"这种方法为组织提供了一种更全面、更精简的防御方式来应对当今复杂的威胁环境,"她说。

主动式 AI 是安全专家的朋友吗？

GUS 所整合的规模和范围是广泛的,而主动式 AI 在企业中的普及显然是谷歌云 Next 大会的一个重要主题,谷歌对主动式代理在网络安全领域的潜在优势抱有很高期望。谷歌产品管理副总裁 Brian Roddy 如是说。

"我认为客户正在用主动式 AI 做一些有趣的事情,"他说。"显然人们已经开始使用客户支持代理之类的东西,但很快他们就在构建能够进行更深入分析的工具,从一级支持到二级,最终到三级。"

"我们正在尝试做的是类似的事情,只是在安全领域。那些让安全专业人士生活痛苦的繁琐任务是什么？我们如何确保尽可能多地消除这些任务？"

谷歌的一些最大客户已经花了一些时间进行测试,Roddy 说,这些早期客户反馈看起来普遍积极。

"他们真的很喜欢这些东西。一些正在早期使用的新工具,比如恶意软件逆向工程工具,这是我所知道的完全新的东西,传统上需要多年的经验,"他说。

"如果我们现在可以做5到10倍的逆向工程工作,这对坏人来说真是个坏消息。我们可以阻止更多的攻击。"

谷歌的恶意软件分析代理旨在调查代码是否安全或有害。它分析潜在的恶意代码,还能够创建和执行反混淆脚本,总结其工作并提供最终判断。

针对这个特定工具的早期训练产生了一些有趣的结果。事实上,在一次对2017年5月给NHS造成严重破坏的 WannaCry 勒索软件蠕虫样本的测试中,AI 能够在短短34秒内找到勒索软件的终止开关并将其消除。

而首次发现终止开关并用它来阻断恶意软件的威胁情报分析师 Marcus Hutchins 花了7个小时才达到同样的效果。

除了将在6月底向选定客户预览的恶意软件分析代理外,谷歌还将提供一个警报分类代理,代表用户执行动态调查。

分类代理将分析每个警报的上下文,收集相关信息,并对警报做出判断,同时附带其证据和决策过程的历史记录。谷歌表示,这个始终在线的代理将"大大减少"一级和二级 SOC 分析师的手动工作,否则他们每天可能要花费数小时来调查数百个"死胡同"警报。

"这些是我们推出的第一批专家代理,还会有更多,"谷歌云安全副总裁兼总经理 Peter Bailey 说。"我们认为这是一种变革性的方式,可以以更快的速度运行 TDIR (威胁检测和事件响应) 管道,获得更好的结果。"