Google progetta una suite di servizi integrati efficiente e sicura grazie all’AI, all’esperienza e alla threat intelligence di Mandiant e all’approccio SecOps.
Autore: Redazione SecurityOpenLab
Intelligenza Artificiale, SecOps, Threat Intelligence e awareness sono le parole chiave della strategia di Google per fornire ai propri clienti una suite di servizi chiavi in mano che coprano SOC, telemetria, rischi e minacce, il tutto integrato con le funzioni di Google Cloud. È in occasione del Cybertech Europe 2024 che Gianluca Varisco, Customer Engineer, Security Specialist di Google Cloud ha spiegato a Security Open Lab lo scenario attuale, gli sviluppi e le strategie future del colosso di Mountain View.
Il periodo a cavallo fra il 2023 e il 2024 è stato caratterizzato da un focus molto aggressivo sull’Intelligenza Artificiale da parte di tutta l'industria, inclusa Google. In particolare, Varisco spiega il duplice approccio dell’azienda: “AI4Security e Security4AI. Possono sembrare due concetti simili, in realtà sono ben distinti: AI4Security identifica l'uso dell'Intelligenza Artificiale per migliorare le tecniche di rilevamento e protezione dalle minacce cyber. Security4AI, invece, identifica come proteggere le soluzioni stesse di AI”.
All’atto pratico, la prima parte identifica l’approccio alla difesa informatica che bene o male tutti i vendor di cybersecurity stanno adottando: accelerare, grazie all’AI e agli LLM, processi che altrimenti sarebbero monotoni e lenti, come l'analisi di grandi quantità di dati o di un malware. Questo aumenta l’efficacia e l’efficienza del personale, abbassandone al contempo lo stress. Nel caso di Google però l’approccio coinvolge un ulteriore aspetto: l’azienda adotta l’AI al suo interno per migliorare la sicurezza propria e dei propri servizi, soprattutto in ambiti quali la Threat Intelligence e l'analisi degli incidenti.
In questo frangente, spiega Varisco, “noi stessi abbiamo deciso di condividere maggiormente le nostre policy sull'uso dell'AI applicata alla sicurezza e abbiamo integrato l'AI all'interno dei prodotti di Mandiant e di Google Cloud, per identificare vulnerabilità e minacce all'interno delle piattaforme utilizzate dai clienti. Questo approccio si rifà al concetto di testare e utilizzare le tecnologie all'interno della propria infrastruttura prima di offrirle ai clienti”. Varisco aggiunge che il fatto che l’idea funzioni è testimoniato per esempio da Gmail, dove l'AI permette di bloccare il 99,9% di malware e phishing".
Il lavoro di Google con l’Intelligenza Artificiale parte dal principio di Responsible AI, quindi dalla fase di addestramento e configurazione dell’AI stessa, con la scelta dei dati per il training. “Qui entra in gioco un tema di safety, oltre che di security, nell’ambito del quale è possibile fare tuning all'AI per escludere contenuti potenzialmente pericolosi o illeciti” sottolinea Varisco.
Detto questo, il tema della sicurezza dell’AI resta di primaria importanza e coinvolge molte tematiche, come quelle già prospettate in passato sull’eventuale possibilità di bypassare i modelli LLM con tecniche come per esempio il prompt injection. A tale proposito Varisco argomenta che “è qui che entra in gioco il nostro ruolo: dobbiamo assicurarci che ci siano dei paletti. Per esempio, nel caso di Gemini che è un modello first party, abbiamo implementato diverse componenti tecniche che limitano tali rischi”.
C'è poi un tema importante legato agli standard di riferimento. Varisco spiega che Google lo scorso anno ha “lanciato SAIF (Secure AI Framework), un framework per collaborare con l'industria che va oltre la pura conformità normativa, mirato alla definizione di linee guida che le aziende possano seguire per utilizzare l’AI in maniera sicura e responsabile”. Ovviamente SAIF è limitato a Google ma l’azienda sta cercando di esternalizzarlo.
Un altro tassello del puzzle è la nascita della Coalition for Secure AI che riunisce Google, Amazon, Anthropic, Chainguard, Cisco, Cohere, GenLab, IBM, Intel, Microsoft, NVIDIA, OpenAI, PayPal e Wiz attorno allo stesso tavolo, per promuovere misure di sicurezza complete capaci di affrontare i rischi unici che derivano dall'IA, sia in relazione ai problemi che si presentano in tempo reale sia per quelli futuri. “È importante che, con il tempo, tutti potranno adottare best practice condivise, in modo da poter garantire la sicurezza dell’AI e proteggere sia gli utenti che le organizzazioni dalle minacce che possono emergere” conclude Varisco.
Manca un elemento importante: l’awareness. Come ricorda Varisco - e come dovrebbe ormai essere arci noto - qualsiasi soluzione di security da sola non fa miracoli, occorre un atteggiamento consapevole da parte dell’utente. Che non richiede conoscenze o addestramento complessi, ma la semplice applicazione delle regole di base della cybersecurity, come per esempio l’attivazione della MFA ovunque possibile e l’uso di password uniche e complesse.
Inoltre, in ambito business, crea ancora problemi la mancata conoscenza basilare del modello di responsabilità condivisa, di cui si parla da anni e che non è mai cambiato: il provider dei servizi cloud è responsabile del funzionamento degli stessi e della infrastruttura nel suo complesso. Al cliente spettano la gestione delle identità e dell’accesso ai dati, la corretta configurazione evitando errori spesso banali che possano portare a fughe di dati, la protezione dei workload e dei dati stessi (di cui il cliente è legalmente responsabile).
AI a parte, Google sta lavorando alacremente su altri due aspetti fondamentali: le Security Operations (SecOps) e la Threat Intelligence. In particolare, Varisco spiega che “stiamo creando una suite di strumenti che permetta agli analisti della sicurezza e agli operatori SOC di avere una visione più chiara e completa, utilizzando anche l’Intelligenza Artificiale per gestire grandi quantità di informazioni e individuare potenziali minacce. Ecco che quindi Google SecOps è uno dei pilastri della nostra strategia futura”.
L’altro tema è la Threat Intelligence. Google ha integrato molte nuove fonti di telemetria, creando quella che Varisco definisce "Applied Threat Intelligence, ossia una soluzione capace di combinare tutte le informazioni di Threat Intelligence e metterle a disposizione dei nostri clienti in modo che possano vedere ciò che vediamo noi e di agire di conseguenza. Non si tratta solo di consumare i cosiddetti feed di dati, ma di applicare queste informazioni alle specifiche esigenze verticali”.
Tutti gli argomenti trattati, nel loro complesso, hanno l’obiettivo condiviso di “dare ai clienti una visibilità più ampia su ciò che accade all’interno dei loro perimetri, aiutandoli a essere più preparati contro le minacce”, rimarca Varisco, grazie anche all’esperienza ereditata da Mandiant, che sta confluendo nei prodotti Google per offrire una suite di chiavi in mano ai clienti.