A Google anunciou uma nova solução, o Google Threat Intelligence, que combina a experiência adquirida com a unidade de cibersegurança Mandiant, a base de dados de malware da comunidade VirusTotal e o modelo de Inteligência Artificial Gemini 1.5 Pro.

Um post no blog da Google explica que a Google Threat Intelligence “proporciona uma visibilidade sem paralelo do panorama global de ameaças”, em parte devido à base de dados de utilizadores e dispositivos da empresa. Dados partilhados na publicação referem que a Google protege 4 mil milhões de dispositivos e 1,5 mil milhões de contas de correio eletrónico, bloqueando 100 milhões de tentativas de phishing por dia. Esta informação permite identificar os vários elementos de campanhas de ataque.

Google Threat Intelligence
Google Threat Intelligence créditos: Google

Na Mandiant, os consultores de segurança dedicam-se à dissecação de táticas e técnicas de invasores. Ao fazer mais de 1.100 investigações por ano, as equipas estão preparadas para auxiliar os clientes na defesa de ameaças sofisticadas. Além disso, monitorizam os grupos de agentes de ameaças em busca de atividades e mudanças de comportamento para contextualizar as investigações.

Em 2022, a Google comprou a Mandiant, a empresa de cibersegurança que descobriu o ataque informático da SolarWinds em 2020, contra o governo federal dos EUA, o qual afetou numerosas empresas de todas as dimensões.

A comunidade global de mais de um milhão de utilizadores da VirusTotal trabalha também na identificação de potenciais ameaças, o que permite reagir aos ataques emergentes com rapidez. A empresa tira partido da inteligência de ameaças de código aberto daquela comunidade para enriquecer a sua própria base de conhecimento.

Com o modelo Gemini 1.5 Pro integrado, a Google diz reduzir o tempo necessário para fazer engenharia reversa de ataques de malware. A empresa afirma que o Gemini 1.5 Pro, lançado em fevereiro, levou apenas 34 segundos para analisar o código do vírus WannaCry e identificar um kill switch.

O WannaCry surgiu em 2017, mudou as regras do jogo da cibersegurança e ainda hoje, perto de sete anos depois de ser libertado, provoca danos.

O Threat Intelligence apresenta relatórios de ameaças em linguagem natural, facilitando às empresas o trabalho de avaliação do impacto de potenciais ataques. Deste modo podem agir consoante a dimensão e gravidade da ameaça e também priorizar o trabalho de defesa consoante as ameaças.

Veja a forma como o Threat Intelligence utiliza o Gemini para analisar código potencialmente malicioso 

A nova solução dispõe ainda de uma ferramenta de extração de entidades orientada pelo Gemini para automatizar a fusão e o enriquecimento de dados. Segundo a Google, “pode procurar automaticamente na Web informações de fonte aberta (OSINT) relevantes e classificar relatórios online de ameaças da indústria”. Em seguida, converte a informação em coleções de conhecimento extraídos de motivações, alvos, táticas, técnicas e procedimentos (TTP), atores, kits de ferramentas e Indicadores de Compromisso (IoC).

Além da Google, também a Microsoft lançou, no início de abril, uma ferramenta de AI para cibersegurança o Copilot for Security, que multiplica a capacidade defensiva das organizações contra ataques informáticos.