Google e la sua controllata Chronicle stanno implementando nuove funzionalità di rilevamento automatico delle minacce per la sua piattaforma Google Cloud per aiutare le aziende a potenziare il monitoraggio della sicurezza per i loro sistemi legacy.
Il prodotto, chiamato Chronicle Detect, è in lavorazione da un po 'di tempo e Google ha svelato alcuni dettagli su alcuni componenti all'inizio di quest'anno a RSA, come un modello di fusione dei dati per creare linee temporali, un motore di regole per eventi comuni e il comportamento delle minacce malware YARA incorporato linguaggio.
Spesso, i dati di registro o la telemetria dalle applicazioni interne, standard o precedenti di un'azienda non sono configurati per l'integrazione o il trasferimento alle moderne piattaforme di rilevamento e risposta alle minacce. Ciò può rendere più difficile il monitoraggio della sicurezza coerente e continuo e creare lacune di visibilità per grosse porzioni di impresa.
In un comunicato, Sunil Potti, General Manager e Vice President of Engineering di Google, e Rick Caccia, Head of Marketing del team Cloud Security di Google, hanno affermato che le nuove funzionalità sono state progettate per colmare il divario che molte organizzazioni devono affrontare nell'impostazione di protocolli di rilevamento delle minacce per sistemi precedenti o legacy.
"Nei sistemi di sicurezza legacy, è difficile eseguire molte regole in parallelo e su larga scala, quindi anche se il rilevamento è possibile, potrebbe essere troppo tardi", hanno detto Potti e Caccia. “La maggior parte degli strumenti di analisi utilizza un linguaggio di query dei dati, rendendo difficile scrivere regole di rilevamento descritte in scenari come il framework Mitre ATT & CK. Infine, i rilevamenti spesso richiedono informazioni sulle minacce sull'attività degli aggressori che molti fornitori semplicemente non hanno ".
Chronicle Detect funziona in questo modo: i clienti utilizzeranno la piattaforma di Google per inviare la loro telemetria a pagamento e l'automa di Chronicle la mapperà su un modello di dati per dispositivi, utenti e indicatori di minaccia per sviluppare nuove regole di rilevamento. Gli utenti possono migrare le proprie regole da sistemi legacy, crearne di nuove o utilizzare la versione standardizzata di Google. Possono anche sfruttare gli indicatori di minaccia di Uppercase, il team di ricerca sulle minacce di Chronicle su malware, APT e altre minacce più recenti.
Chronicle è stato istituito per la prima volta dalla società madre di Google, Alphabet, nel 2018, come un servizio di automazione della sicurezza quasi indipendente che combinerebbe l'infrastruttura di Google, gli strumenti analitici e vasti oceani di dati con informazioni specifiche del cliente per acquisire e trasformare automaticamente i dati di sicurezza in intelligence utilizzabile . In seguito, Alphabet ha ridimensionato quei piani e l'organizzazione è stata infine inserita nel team di sicurezza cloud di Google.
Il post che Google ha lanciato il nuovo strumento di rilevamento automatico delle minacce è apparso per la prima volta su SC Media .