在本周的 Google Next ’23 活动中,谷歌透露了如何通过使用其 PaLM 2 基础模型,将生成式 AI Duet AI 应用到 Google Cloud 的安全解决方案中,包括态势管理、威胁情报和检测以及网络和安全解决方案。 数据安全。
正如谷歌云副总裁兼安全总经理 Sunil Potti 在上周的会前新闻发布会上解释的那样,该公司正在三个领域使用 Duet AI 模型:
分析和总结 Google Mandiant 威胁情报单元生成的威胁情报。 该功能目前处于预览阶段,将于今年全面推出。
对于 Google 的 Chronicle 安全运营平台,为了减少工作量并加快威胁发现和响应速度。 该功能目前处于预览阶段,预计将于今年全面推出。
Chronicle 的另一项新功能将涉及 Mandiant 专家主动解析组织的最新前线情报,以寻找未检测到的攻击。
波蒂在新闻发布会上表示:“我们一直在这三个领域开展工作,生成式人工智能可以为安全带来真正的价值。”
Mandiant 威胁情报中的 Duet AI
Potti 解释说,谷歌将通过 Duet AI 增强其于 2022 年收购的 Mandiant 威胁情报部门,以加速新威胁的检测并提高一系列漏洞(包括代码漏洞)的可见性。 它还会将 Mandiant 的见解转化为威胁行为者使用的策略、技术和程序,并以自然语言和易于理解的格式提供威胁情报摘要。
Duet AI 用于记录安全运营
Potti 解释说,将 Duet AI 集成到 Chronicle 中明确解决了安全操作工作量和工具扩散问题,并隐含解决了 SOC 团队中安全操作员短缺的问题。
“我从未见过一位 CISO 说他们的团队拥有足够的人才或人员。 生成式人工智能提供了很多扩大人才规模的机会,因此一级运营可以与二级运营一样高效,”他说。
谷歌允许分析师做一些事情,比如进行自然语言查询。 “当我谈到提升安全人才水平时,这是一个很好的例子。 您不必熟悉我们的统一数据模型语法; 相反,你可以用自然语言提问,”Potti 说。
Potti 表示,Mandiant 围绕妥协指标生成大量数据,可以使用 Duet AI 进行汇总。 “这使我们能够轻松使用 Duet AI 查看数千份英特尔报告,总结针对用户或情况最具体的数据,并根据接收报告的受众类型进行定制。”
Potti 表示,将 Duet AI 注入 Chronicle 将使安全管理员能够生成安全案例各个方面的摘要,并表示人工智能驱动的 Chronicle 平台将建议下一步的防御步骤。
Potti 表示,作为其 SOC 团队服务的一部分,谷歌还将 Duet AI 集成到其安全指挥中心,以便提供对谷歌云中客户漏洞的可见性并执行自动化任务。 例如,它可以确定资产是否容易受到攻击,生成可以利用哪些资源的摘要,并提供有关如何修复漏洞的建议。
他表示,这些创新扩展了终端访问控制器访问控制系统模拟的新功能,该功能可以查看用户的企业谷歌云环境,以确定哪些资产存在漏洞、威胁或受到损害。 它还会寻找组织特权数据的潜在暴露情况,或威胁行为者升级特权的能力。
“通过 Duet AI 和我们的安全指挥中心,我们正在帮助总结这些攻击路径,以便安全团队可以快速了解这些路径是什么,以及修复其中一些问题的建议步骤。 这些改进有助于减少安全团队每天面临的繁重工作。”他说。
Chronicle 获得 Mandiant Hunt 功能
同样在 Google Next ’23 上,该公司还宣布推出 Mandiant Hunt for Chronicle。 新功能使用 Mandiant 人员在 Chronicle 环境之上进行威胁搜寻,以发现安全运营团队可能错过的威胁。
据谷歌称,Mandiant 专家使用强大且适应性强的收集和分析策略以及搜索妥协指标的传统自动搜索来建立假设。
“将此视为通过世界上最好的事件响应调查员来增强客户安全团队的一种方式,”Potti 说。 “由于 Chronicle 从众多来源引入数据,因此我们不仅能够利用端点数据,还能够利用网络和身份数据来运行这些查询。”
使用 PaLM 2 增强 Duet AI 能力
Potti 表示,为了调整 Duet AI 的安全功能,谷歌使用了 Vertex AI PaLM 2。谷歌补充说,PaLM 2 极大地提高了第一代 PaLM 的高级推理能力,包括代码和数学、分类和问答、翻译和推理能力。 多语言能力和自然语言生成。
Potti 表示,谷歌利用其 Mandiant 威胁情报部门的安全数据对 PaLM 2 进行了训练,以创建一个名为 Sec-PaLM 2 的生成人工智能模型,该模型旨在针对支持安全工作案例进行优化。 他指出,其插件架构意味着谷歌云客户可以轻松定制它。 “它正在推动创新,并使客户和合作伙伴能够将其用作 Vertex AI 花园中的模型,”他说。
AI应用于安防:以毒攻毒
谷歌的举动反映了威胁行为者和防御者之间围绕生成人工智能和其他机器学习工具的应用而迅速升级的军备竞赛。 攻击者正在使用这些新技术来编写恶意软件、冒充品牌并进行一系列社会工程攻击。
Check Point Software 利用人工智能已有大约十年的历史,其 70 个引擎中约有 40 个使用人工智能和机器学习。 Check Point Software 全球首席信息安全官 Pete Nicoletti 表示,目前人工智能是强制性的。
“如今,如果你没有人工智能来对抗人工智能,你就会成为一个统计数据,”他说。 “这降低了攻击者的门槛。” 他指出,黑客以两种方式使用人工智能——第一种是代码生成。 “他们正在突破 ChatGPT 系统的护栏,让他们创建代码片段,而不是成熟的零日勒索软件,”他说。 第二个是自动创建垃圾邮件,即获取被黑客入侵的内容并创建新的社会工程漏洞。 “在人工智能和内容创建的脚本功能之间,您可以在几分钟内完成并在几秒钟内启动它。”
