Google Security Operations (SecOps) rappresenta un cambio di paradigma nel settore della cybersecurity, proponendo un approccio integrato che consolida in un’unica piattaforma le tradizionali funzionalità di SIM, SOAR e intelligence sulle minacce. La soluzione, costruita sull‘infrastruttura hyperscale di Google, permette ai clienti di centralizzare tutti i dati di sicurezza e mantenerli disponibili per almeno un anno, garantendo così una base solida per le attività investigative.
In un webinar, dal titolo “Agentic AI for Security: Transforming Threat Detection & Response with Gemini”, Wendy Willner, product manager, security operations di Google ha spiegato che “La piattaforma si distingue per la sua natura cloud-nativa, che la rende più conveniente e scalabile rispetto alle soluzioni tradizionali. Tutte le attività del SecOps – dai flussi di lavoro investigativi al dashboarding, dalla reportistica alla gestione dei casi – vengono svolte da un’unica postazione di lavoro”.
Indice degli argomenti:
Google Security Operations: gestione intelligente dei dati e intelligence sulle minacce
Uno degli aspetti più innovativi di Google SecOps è la sua capacità di gestione completa dei dati. “La piattaforma offre pipeline avanzate che consentono ai clienti di acquisire, instradare, filtrare, redigere o trasformare facilmente i dati secondo le proprie esigenze specifiche”, ha dichiarato Willner.
L’intelligence sulle minacce rappresenta un elemento distintivo della soluzione. “Google SecOps incorpora l’accesso unico di Google alle informazioni di sicurezza e applica l’intelligence curata e crowdsourcing dalle fonti di Google, inclusi Mandiant e VirusTotal, direttamente all’ambiente del cliente – ha affermato Willner. Questa intelligence viene costantemente confrontata con la telemetria del cliente, anche risalendo a un anno prima, per identificare potenziali compromissioni o corrispondenze con indicatori di minaccia noti”.
Le corrispondenze includono rapporti dettagliati che spiegano cosa fa un indicatore specifico, le sue relazioni e perché è considerato dannoso, accompagnati da un punteggio di Google Threat Intelligence (GTI) per indicarne la gravità.
Contenuti curati e rilevamento avanzato
Il team di esperti di Google ha sviluppato e mantiene oltre 4.000 regole di rilevamento curate per un’ampia varietà di minacce, dalle minacce cloud a quelle on-premise e agli avvisi EDR. “Il content hub fornisce un’unica posizione per gestire tutti i contenuti curati, incluse query di ricerca predefinite, dashboard per conformità, DLP, cloud, EDR e rete, playbook di risposta e automazioni – ha spiegato ancora Willner. I content pack rappresentano un’innovazione significativa, consentendo agli utenti di installare e distribuire con pochi clic tutto il necessario per una tecnologia o un caso d’uso specifico, dall’acquisizione dei dati alla risposta e alla bonifica”.
L’evoluzione dell’AI in quattro fasi
Durante il webinar, la product manager, security operations di Google ha illustrato la roadmap evolutiva dell’intelligenza artificiale nel SecOps articolata in quattro fasi distinte:
- Manuale: tutte le attività erano guidate dagli umani, dall’identificazione delle minacce all’azione.
- Assistita (fase attuale): gli umani guidano ancora i flussi di lavoro, ma l’AI li assiste, ad esempio riassumendo i casi o generando ricerche per velocizzare le operazioni.
- Semi-autonoma: l’AI inizia a prendere decisioni con sicurezza, con supervisione umana, invertendo il modello tradizionale.
- Autonoma (visione futura): l’AI intraprende azioni end-to-end per le attività del SecOps, con controllo umano, supervisione e auditabilità.
Agenti AI: il futuro della sicurezza informatica
Nel contesto del SecOps, Google definisce un agente AI come uno stato stabile di processi che un Large Language Model intraprende per raggiungere un obiettivo specifico. “Un agente analizza un problema, comprende il suo obiettivo e utilizza i suoi strumenti per eseguire il piano – ha spiegato Willner. Google SecOps ha iniziato a costruire agenti per l’area di triage e indagine degli avvisi. Il primo agente, attualmente in fase di anteprima, può determinare se un incidente di sicurezza è ad alta o bassa gravità e spiegare esplicitamente il motivo di tale determinazione”.
Caso di studio: l’agente di indagine in azione
Un esempio concreto dell’efficacia dell’agente AI è rappresentato dall’investigazione di un avviso relativo a “plink RDP tunneling verso un host esterno“. “L’agente Gemini ha classificato l’avviso come alta gravità con alta fiducia, riassumendo l’attività (tunneling RDP, potenziale attività APT, movimento laterale) e dettagliando i suoi passi investigativi – ha spiegato Willner. I passi hanno incluso l’analisi di hash con Mandiant e VirusTotal, la creazione ed esecuzione di query personalizzate per raccogliere informazioni sull’utente e sull’host interessati, e l’analisi delle righe di comando per identificare attività dannose come tunnel SSH inversi. L’agente ha anche analizzato l’IP esterno, riconoscendo quando le informazioni sull’intelligence sulle minacce erano contraddittorie e indicando la necessità di ulteriori indagini umane”.
Agenti AI nella sicurezza, le prospettive future
Google sta esplorando la costruzione di diversi agenti per casi d’uso oltre il triage degli avvisi, come la caccia a malware e l’ingegneria del rilevamento. “L’azienda sta anche studiando come integrare i propri agenti con altri strumenti e come consentire agli utenti di costruire i propri agenti o integrare quelli esistenti – ha aggiunto Willner. “Questa evoluzione rappresenta la visione di Google per la trasformazione del SOC, con l’AI che guida i cicli di vita della sicurezza per risultati positivi, mirando a scaricare quanto più lavoro possibile dagli operatori umani mantenendo al contempo il controllo e la supervisione necessari”.
