Google anuncia Sec-Gemini v1, su modelo experimental de IA para ciberseguridad

 (security.googleblog.com)
1 puntos por GN⁺ 2025-04-06 | 1 comentarios | Compartir por WhatsApp
  • Se centra en amplificar las capacidades de los expertos en ciberseguridad para fortalecer la posición de los defensores
  • Busca resolver la asimetría con ventaja para el atacante, donde el atacante solo necesita encontrar una vulnerabilidad, mientras que el defensor debe prepararse para todas las amenazas
  • Los flujos de trabajo de ciberseguridad basados en IA pueden ayudar a devolver un equilibrio favorable a los defensores

Funciones principales y rendimiento

  • Combina la capacidad avanzada de razonamiento de los modelos Gemini con conocimiento y herramientas de seguridad actualizados
  • Muestra un rendimiento sobresaliente en tareas clave de ciberseguridad
    • Análisis de causa raíz de incidentes
    • Análisis de amenazas
    • Evaluación del impacto de vulnerabilidades
  • Está integrado con Google Threat Intelligence (GTI), datos de OSV y otra información de seguridad clave

Resultados de benchmark

  • En el benchmark de inteligencia de amenazas CTI-MCQ, muestra un rendimiento al menos 11% superior frente a otros modelos
  • En el benchmark CTI-RCM (mapeo de causa raíz) también registró una mejora de precisión superior al 10.5%
    • Analiza y clasifica con precisión la causa raíz de las vulnerabilidades con base en el sistema de clasificación CWE

Ejemplo de análisis de amenazas: Salt Typhoon

  • Sec-Gemini v1 reconoce a Salt Typhoon como un actor de amenazas y ofrece una explicación detallada
    • Esto es posible gracias a su integración con los datos de inteligencia de amenazas de Mandiant
  • Ante preguntas relacionadas con Salt Typhoon, proporciona información específica sobre las vulnerabilidades utilizadas por ese actor de amenazas
    • Añade contexto al resultado del análisis con base en datos de OSV e inteligencia de Mandiant
    • Esto permite a los analistas identificar más rápido la relación entre amenazas y vulnerabilidades y el nivel de riesgo

Uso y despliegue

  • Se ofrece gratis para fines de investigación a organizaciones seleccionadas, instituciones, expertos en seguridad y ONG
  • Google busca superar los límites de las capacidades de seguridad basadas en IA mediante la colaboración con la comunidad de seguridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-04-06
Opiniones en Hacker News

  • El modelo Gemini se siente un poco distinto de Claude, ChatGPT y Mistral

    • Se siente como hablar con un modelo enfocado en tareas de ingeniería
    • Tiene una seriedad que no busca humor ni estilo
    • Puede que sea porque solo interactúo con Gemini a través de AI Studio
    • La razón por la que no uso gemini.google.com es simple: no tiene una función sencilla de exportación
    • La función de guardar en Google Drive de AI Studio es muy útil
    • Ojalá gemini.google.com ofreciera una función de "Guardar como Markdown"

  • Ante una pregunta sobre la vulnerabilidad en la explicación de Salt Typhoon, Sec-Gemini v1 proporciona no solo detalles de la vulnerabilidad sino también contexto sobre el actor de amenaza

    • Explica la vulnerabilidad usando datos de OSV y de Mandiant
    • Sigo siendo escéptico con los LLM, pero el avance de OSV es positivo

  • Sorprende que Google no revise con cuidado las respuestas de la IA

    • En una pregunta sobre CVE-2024-3400 se menciona que los dispositivos Hitachi son vulnerables, pero en realidad no lo son
    • Ese CVE no aparece en la lista de vulnerabilidades de Hitachi
    • Tampoco se menciona que la función de "portal" sea vulnerable

  • Hay una pregunta sobre si es un modelo que realiza trabajo de seguridad o un sistema que consulta datos y usa herramientas

    • Por la explicación de integración de datos, parece más probable lo segundo
    • La diferencia entre un modelo ajustado para seguridad y una app de LLM de seguridad preconstruida es importante

  • Es interesante ver la aparición de modelos especializados

    • Se parecen a un humano entrenado

  • Siempre hay dudas sobre los LLM y las tareas de análisis

    • Al evaluar el riesgo y el impacto de una vulnerabilidad o al analizar malware complejo, hay que revisar a fondo los puntos de datos
    • Los LLM pueden ayudar mucho, pero hay que revisar su razonamiento
    • Con los humanos pasa lo mismo: deben mostrar la base de sus conclusiones

  • Se necesita trabajo de seguridad de alta velocidad usando sistemas de IA, pero no es suficiente

    • Los atacantes también usarán sistemas de IA, así que los defensores deben mantenerse al ritmo
    • Hay que construir sistemas más seguros

  • Puede ser bueno para ayudar en el trabajo de los expertos en ciberseguridad

    • Pero preocupa que se use como herramienta para trasladar la responsabilidad

  • Confiar en algo probabilísticamente correcto para seguridad puede ser una mala idea

  • Puede estar relacionado con la adquisición de wiz