日本国家Google Cloud宣布推出一款名为“Google AI威胁防御”的自动化安全系统,旨在通过AI技术持续监控并阻止潜在威胁。
该系统融合了Gemini及其他前沿模型的推理能力、Wiz基于上下文的风险优先级排序、Gemini与CodeMender的代码修复功能,以及Mandiant的前线专业知识。通过将实际环境中的暴露风险与自动补丁创建和优先级直接关联,帮助组织预测攻击路径,优先处理最严重的威胁,并在攻击者之前部署经过验证的修复方案。
该系统基于Google独创的四步框架,彻底革新漏洞管理流程:
- 准备(Prepare):强化基础,建立机器速度的优先级排序和响应框架
- 扫描与优先级排序(Scan and prioritize):进行详细分析和AI驱动的安全态势验证
- 修复(Remediate):自动验证并加速漏洞补丁的应用流程
- 监控(Monitor):实现持续检测并转向基于训练的主动响应策略
准备阶段:强化基础以实现机器速度响应
随着漏洞数量增加和利用速度加快,首要任务是减少不必要的暴露。无论补丁应用情况如何,关键资产不应通过互联网或不可信路径暴露。目标不仅是修复已知重大问题,更要减少可达性,验证实际可能被利用的漏洞,避免依赖人工筛选新风险。
组织需全面掌握技术环境中漏洞的修补速度和响应能力。面对不断增长的CVE数量和缩短的漏洞利用时间,团队必须在新漏洞出现前明确责任、优先级和执行路径。所有暴露的应用、服务和技术必须基于可达性、利用可能性及业务影响进行优先级排序,并快速将问题转交给相关负责人修复。
由于并非所有漏洞都存在于代码中,组织需利用AI扫描应用、API、身份认证、配置、权限及业务逻辑间的交互,识别攻击路径。传统攻击面管理帮助识别暴露点,但当前需求是持续分析所有暴露,判断其利用风险,并通过AI渗透测试在攻击者行动前理解潜在威胁。
该流程通过Wiz平台实现运营。
扫描与优先级排序:深度分析与AI驱动的攻击模拟
战略防御需要多层次环境扫描,从表面检查到AI驱动的深度代码分析。前沿模型能揭示复杂逻辑缺陷、危险信任边界、脆弱依赖、暴露API及潜在利用链。
由于深度扫描成本高且耗时,难以对所有资产持续执行,组织应优先扫描面向互联网的应用、客户服务、敏感数据流、认证授权逻辑、特权服务及关键业务系统。
不同安全任务对模型性能要求不同,采用多模型和多次扫描(多路径)可提升覆盖率。部分模型擅长应用逻辑分析,另一些则专注云配置、二进制分析、漏洞验证或修复指导。组织需结合多模型以最佳成本发现广泛漏洞。
Google的多AI策略通过轻量快速模型实现广泛持续覆盖,前沿模型则专注高风险应用和检测结果。
Wiz根据暴露、漏洞、身份、敏感数据访问和运行时信号等实际风险上下文确定优先级。
系统部署AI安全代理,主动搜寻严重漏洞。代理利用Gemini企业代理平台,支持客户测试CodeMender,允许组织在不牺牲隐私、安全和数据治理的前提下,选择最适合的模型。
修复阶段:加速漏洞修复流程
识别漏洞后,目标是将修复时间从数周缩短至数分钟。系统通过快速自主工作流,向开发团队提供无需额外负担的修复方案和优先级排序。
为确保安全部署速度,平台在开发者构建时,直接在IDE或CLI中主动生成漏洞修复建议。
CodeMender充分利用Gemini推理能力,与Antigravity和Wiz无缝协作,帮助工程团队替换脆弱代码,将旧代码重写为内存安全语言,分析库依赖并协调平滑上线。同时自动化筛选,优先修复应用和云基础设施中的漏洞。
补丁应用前,平台自动生成测试用例验证所有修复。修复完成后,库在源码管理和生产环境均打标签,实现端到端跟踪,组织可查看补丁生成时间、所用模型等信息。
作为整体风险管理一环,需掌握脆弱系统访问敏感数据的路径,因其增加数据泄露风险。整合数据资产可视化,识别高风险工作负载可达的敏感数据服务,优先加密、身份管理、网络控制和数据泄露监控。结合软件开发生命周期可视化,控制软件和配置变更部署。
最终,Google的方案在人工监督下实现自主性,兼顾速度和战略控制,帮助团队消化安全积压,强化软件开发生命周期。
监控阶段:实现机器速度检测与主动响应
即使基础坚实,真正的韧性仍需运行时持续警戒。代码级扫描擅长捕捉部署前缺陷,但无法阻止主动利用。系统将运营从人工监控转向机器速度检测和实时防御。
面对加速的暴露周期,系统依托Mandiant前线专业知识,建立责任明确、结果可追踪的统一运营框架,构建韧性。利用自主代理支持自动化防御,快速发现隐藏威胁,调查异常行为,实时响应攻击。
系统与Google安全运营中心(SOC)代理功能结合,自动检测、筛选、调查网络、身份和应用遥测中的异常,提供持续监控,助力在攻击者之前发现漏洞。
平台从根本保护环境,采用每日构建、签名和验证的强化容器镜像,最大限度减少初期攻击面。
