O Google está oficialmente expandindo seu Crônica plataforma de segurança cibernética para o domínio da detecção de ameaças, com a promessa de levar “análise de ameaças em escala do Google” para as empresas.
O Chronicle foi inicialmente desenvolvido como um projeto interno dentro da unidade X secreta da Alphabet antes de ser lançado como um empresa autônoma de segurança cibernética em 2018. Em junho passado, o Chronicle foi engolido pelo Google Cloud, servindo como uma potencial cenoura para atrair clientes corporativos de rivais na nuvem com a promessa de inteligência de segurança cibernética mais abrangente.
Big data
No núcleo do Chronicle estão os algoritmos de aprendizado de máquina que analisam vastas faixas de dados para identificar ameaças à segurança mais rapidamente. Inicialmente, o Chronicle se concentrou mais na caça de ameaças e nas investigações e presumiu que o cliente estava recebendo alertas de outro lugar que iniciariam suas investigações. Em fevereiro, no entanto, O Google colocou as rodas em movimento para detecção proativa de ameaças e funcionalidade de alerta.
“O plano sempre foi adicionar a capacidade de oferecer detecções avançadas – ou seja, criar nossos próprios alertas – além de investigações”, disse Rick Caccia, chefe de marketing para segurança em nuvem do Google Cloud, à VentureBeat.
Isso incluiu o lançamento da fusão de dados inteligente, combinando um novo modelo de dados com a capacidade de conectar automaticamente vários “eventos” em uma única linha do tempo unificada. Além disso, o Google também anunciou que o Chronicle detectaria ameaças usando Wound-L, uma nova linguagem baseada em regras para descrever comportamentos de ameaças complexas – isso é “inspirado” por Ferida, uma ferramenta criada por uma empresa de varredura de malware chamada VirusTotal, que Google adquiriu em 2012.
Acima: Chronicle Detect: captura de tela do mecanismo de regras
Avancemos para o lançamento de hoje e o Google está lançando oficialmente o Chronicle Detect, apresentado como uma solução para as empresas “identificarem ameaças em velocidade e escala sem precedentes”. Com base no que o Google revelou anteriormente, o Google disse que seu mecanismo de regras agora pode lidar com análises de eventos mais complexos, enquanto também expandiu o escopo das descrições comportamentais da Yara-L e “ajustou-o” para tipos de ameaças modernas, conforme descrito no Mitre ATT e CK base de conhecimento.
O Chronicle permite que os profissionais de segurança cibernética configurem seus alertas de ameaças com base em regras mais gerais, nos moldes deste exemplo, Caccia forneceu:
Se você vir um arquivo que nunca foi enviado à nossa rede antes, e depois de abri-lo, a máquina do usuário abre uma conexão para um endereço IP ao qual ninguém aqui se conectou antes, então dispare um alerta e mostre quaisquer usuários que também receberam o mesmo arquivo.
Portanto, em vez de precisar especificar um domínio ou um hash de arquivo específico a ser observado, a abordagem do Chronicle para descrever “comportamento de risco” pode cobrir mais bases em termos de ameaças e alvos potenciais. No entanto, há uma compensação em termos de poder necessário para identificar comportamentos gerais, já que o sistema tem que analisar constantemente a telemetria de segurança da empresa – e é por isso que ser construído diretamente sobre o Google Cloud ajuda.
“Essa abordagem de descrição comportamental permite detecções muito mais poderosas”, disse Caccia. “É difícil passar sem um grande poder computacional, mas o Chronicle tem isso.”
O Chronicle Detect também aproveita um feed adicional de dados em tempo real de sua equipe de pesquisa Maiúsculas, incluindo regras de detecção e indicadores de comprometimento (IoC), que podem incluir IPs ou chaves de registro de alto risco, que são comparados com a telemetria de segurança no sistema de cada empresa.
Embora o Chronicle seja muito apresentado como um componente central do Google Cloud, a plataforma realmente permite que os clientes agreguem e analisem dados armazenados em qualquer outro lugar, seja em provedores de nuvem terceirizados ou por meio de datacenters locais.
Comentários
Postar um comentário