谷歌安全：如何用 AI 技术应对安全挑战？

谷歌的网络安全如何与 AI 集成?

撰文：阿法兔

谷歌安全博客今天 (August 30, 2023) 发了一篇文章，提到了如何将人工智能技术，集合到目前谷歌云安全的生态中，部分思路也可以给我们带来一些不一样的思考角度。

在谷歌云安全，时刻都需要应对一些基础安全挑战：

• 威胁呈指数级增长
• 安全团队为了实现预期成果，所需要的尝试和努力
• 安全人才长期短缺

（分别是从威胁态势、业务的复杂性、和安全人才成本的角度考虑）

谷歌云安全，将通过 Duet AI （Duet AI其实就是谷歌推出对标微软 Copilot 的 AI 助手）增强安全性，通过不断创新迭代安全运营和云平台上，应对上述提到的挑战。

应用人工智能应对最顶级的安全挑战

目前谷歌正在采取不同的方法和途径，确保人工智能的安全，并将人工智能技术，集成到目前的安全产品中，从 AI 工作负载的态势、治理和合规控制（Posture, Governance, and Compliance controls）入手，这块既包括在 Vertex AI 上构建的工作负载 ( AI Workloads)，也包括客户可能带来并部署在 Google Cloud 中的其他工作负载 ( Workloads)。

谷歌云安全 AI 工作台，由谷歌专业安全基础模型 Sec-PaLM 2 (Sec-PaLM 是专注于安全应用场景的版本，使用 AI 帮助分析和解释具有潜在恶意脚本的行为，并检测哪些脚本对个人或组织构成威胁 ) 提供支持，提供人工智能集成功能。

图片来源：New AI capabilities that can help address your security challenges | Google Cloud Blog

安全领域的 Duet AI（人工智能助手）

Duet AI 被定义为人工智能的 collaborator，主要功能是，为 cloud defenders 提供生成式人工智能的技术辅助。对于网络安全专家，谷歌在三个关键产品中增加了 Duet AI，目前还是预览版，预计将在今年全面推出：

• Mandiant 威胁情报中的 Duet AI ：（谷歌 2022 年，以 54 亿美元收购著名的网络安全公司 Mandiant，并入谷歌云团队，提供「端到端安全服务」）Duet AI 可以通过将谷歌的威胁情报，总结为易于理解的格式，帮助披露 TTPs（攻击者所使用的攻击策略、攻击手法）安全团队现在可以快速了解谷歌报告的对手情况、最新威胁情况，以及如何针对其组织，以及让整个组织范围内，应用威胁情报，具备一定的可操作性。

• Chronicle Security Operations 中的 Duet AI 可通过简化搜索、复杂数据分析和威胁检测工程，帮助网络安全人员转变威胁检测、调查和响应的模式，从而帮助每位防御人员减轻负担、提高效率。通过 Duet AI，Chronicle 可以自动提供安全事件发生情况的清晰摘要，提供威胁背景，并进行指导，并就如何应对，提出具体建议。Duet AI 还支持 Chronicle 全新的自然语言搜索。Defenders 可以用自然语言输入问题，Chronicle 将根据陈述直接生成查询，快速完善和迭代结果。

• 安全指挥中心（Security Command Center）中的 Duet AI ，差不多可以实时分析安全问题，发现可能的攻击路径，帮助团队领先对手一步。

这些新功能有助于简化复杂问题，让非专业人员也能更轻松地保卫组织。安全指挥中心的 Duet AI 通过总结威胁态势的严重性、影响，给出补救措施和建议，从而减少工作量，确保大家不会忽视最关键的（安全）问题。

安全指挥中心：Duet AI 解释攻击路径模拟

目前，已经尝试将人工智能引入安全运营中心（SOC）。在短期内，会对 SOAR 工具起到一定补充作用。他说：「从长远来看，谷歌认为，一线 SOC 分析师，可以使用 AI 来进行知识补充，不必向上一级安全分析师寻求支持。」这将加速对事件的平均修复时间（Mean time to repair，MTTR），这对所有安全工作都至关重要。

通过专家，强化安全运营

在为安全运营集成人工智能的同时，将继续提高检测和响应的效率。为此，谷歌推出了 Mandiant Hunt for Chronicle，目前处于预览阶段。Mandiant Hunt for Chronicle 由 Mandiant 专家对 Chronicle 数据进行持续威胁猎杀，以揭露攻击者的活动，减轻业务影响。它将 Mandiant 一线专家，对攻击者行为的最新见解与 Chronicle Security Operations 快速分析和搜索安全数据的能力集成，减轻招聘、工具和培训的负担。

谷歌云安全的创新

为了增加安全指挥中心（Security Command Center）的态势管理功能，目前正在整合由 Tenable 提供的无代理漏洞扫描功能，以检测谷歌计算引擎（Google Compute Engine）虚拟机上的操作系统、软件和网络漏洞。不过，该功能目前尚处于预览阶段。

此外，为了帮助为特定环境定制检测和监控功能，Security Command Center 现在允许企业设计自己的定制态势发现（现已正式发布）和威胁检测器（现已发布预览版）

此外，谷歌宣布了 2 项网络安全进展：

首先，Cloud Firewall Plus（预览版）为谷歌由 Palo Alto Networks 提供的分布式防火墙服务增加了高级威胁防护和下一代防火墙 (NGFW) 功能，可以结合威胁情报，后续可以达到免受入侵、恶意威胁和 tls 检测的效果。

其次，网络服务集成管理器（Network Service Integration Manager）将于今年晚些时候推出预览版，网络管理员可以集成可信的第三方 NGFW 虚拟设备，以进行流量检测。

在数据安全方面，谷歌宣布，在采用 TDX 技术的 4th Gen Intel Xeon Scalable CPUs 机密计算的私有预览版，与谷歌目前现有的 AMD 硬件上的机密计算一起，在整个平台上提供了与其他工作负载和云提供商访问的加密隔离。

谷歌目前还扩大了敏感数据保护产品的覆盖范围，以及推出 Dataplex 和 Dialogflow 的增强集成，Cloud SQL 也已进入试用阶段。

* 本文感谢 Yerik、梦雨、Dakai

参考资料

1.Security Command Center | Google Cloud

2.https://cloud.google.com/blog/products/identity-security/rsa-Introducing-ai-powered-insights-threat-intelligence