Güvenlik ekipleri günlerinin çoğunu raporlardan, forumlardan ve yayınlardan veri çekerek, birden fazla kaynaktaki ipuçlarını birleştirmeye çalışarak geçiriyor. Google, işin artık basit bir konuşma yoluyla gerçekleşebileceğini söylüyor.
Tehdit verileriyle etkileşim kurmanın yeni bir yolu
Google, Threat Intelligence Enterprise ve Enterprise+ ürünlerinin müşterilerine sunulan bir önizleme özelliği olan ajansal tehdit istihbaratını başlattı. Şirket bunu analistler için dijital bir ekip arkadaşı gibi davranan bir “ajans platformu” olarak tanımlıyor. Bir kullanıcı bir soru sorduğunda platform, bir yanıt oluşturmak için uzman aracıların ve araçların doğru karışımını otomatik olarak seçer.
Bu aracılar, siber tehdit istihbaratı (CTI) ve kötü amaçlı yazılım analizi gibi görevleri yerine getirebilir. Sistem, açık kaynak istihbaratı (OSINT), derin ve karanlık web, Mandiant raporları ve VirusTotal verileri dahil olmak üzere çeşitli kaynaklardan yararlanıyor. Sonuç, bir bağlantı listesi yerine sentezlenmiş bir özettir ve analistlerin birden fazla kaynağı araştırmak için harcadığı zamanı azaltır.
Manuel araştırmadan konuşma analizine
Geleneksel iş akışında bir analist, yeni kötü amaçlı yazılımlara ilişkin bir uyarı alabilir ve ilgili bilgileri aramak, güvenlik ihlali göstergelerini toplamak ve teknik raporları okumak için saatler harcayabilir. Google’ın platformu bu süreci tek bir soruya indirgemeyi amaçlıyor.
Örneğin bir analist, sistemden yakın zamanda gerçekleşen bir tedarik zinciri saldırısını analiz etmesini veya belirli bir güvenlik açığından yararlanan tehdit aktörlerini belirlemesini isteyebilir. Birkaç dakika içinde platform, taktiklerin, tekniklerin ve prosedürlerin (TTP’lerin) yanı sıra ilgili IOC’ler ve kötü amaçlı yazılım davranışlarının ana hatlarını çizen bir özet döndürür.
Google Cloud Ürün Yönetimi’nden Emiliano Martinez, Help Net Security’ye şunları söyledi: “Tehdit istihbaratının geleceği daha fazla veriyle ilgili değil; daha iyi analizlerin daha hızlı üretilmesiyle ilgilidir.” “Bir zamanlar analistlerin saatler süren özenli çalışmasını gerektiren ajansal tehdit istihbaratı sayesinde, manuel araştırmalar artık dakikalar içinde gerçekleştirilebiliyor. Sentezlenmiş istihbaratı hızlı bir şekilde sunarak, paradigmayı reaktif savunmadan daha proaktif olmaya ve kuruluşların risklerin önünde kalmasına yardımcı olmaya doğru değiştiriyoruz.”
Google, bunu yaparak analistlerin reaktif savunmadan daha proaktif bir duruşa geçebileceğini söylüyor. Sentezlenmiş istihbarata daha hızlı erişim, ekiplerin algılama kurallarını güncellemesine, güvenlik açığı yamalarına öncelik vermesine ve mevcut tehdit etkinliğine dayalı olarak masa üstü alıştırmalar yapmasına olanak tanır.
Aktörler ve kampanyalar arasındaki noktaları birleştirmek
Google, bu yaklaşımın gücünün, manuel araştırmalar sırasında gözden kaçabilecek bağlantıları ortaya çıkarma yeteneğinde yattığını söylüyor. Platform, tehdit istihbarat kaynaklarından gelen verileri ilişkilendirerek tehdit aktörlerinin, güvenlik açıklarının ve kötü amaçlı yazılım ailelerinin kampanyalar arasında nasıl kesiştiğini gösterebilir.
Bu daha derin bakış açısı, güvenlik ekiplerinin daha geniş tehdit ortamını anlamasına, hangi risklerin dikkate alınması gerektiğine karar vermesine ve bulguları yöneticilere iletmesine yardımcı olabilir. Konuşma arayüzü birden fazla dili destekliyor ve bu da onu küresel ekiplerin erişebilmesini sağlıyor.
Sistem ayrıca yönetici özetleri oluşturabilir ve tekrarlanan görevler için istemleri kaydedebilir. Google bunu analistlerin stratejiye daha fazla, veri toplamaya daha az zaman ayırmasının bir yolu olarak konumlandırıyor.
Daha fazla bilgi edin: