ИИ-агенты Google Gemini сканируют даркнет, обрабатывая до 10 миллионов сообщений в день, чтобы найти несколько угроз, актуальных для конкретной организации.
Сервис разведки по даркнету, встроенный в Google Threat Intelligence и доступный в публичной предварительной версии, использует модели Gemini для построения профиля организации пользователя. Затем он сканирует даркнет, чтобы определить угрозы безопасности, с которыми сталкивается эта организация.
Специалисты Google по поиску угроз сообщили изданию The Register, что их внутренние тесты показывают способность сервиса анализировать миллионы ежедневных внешних событий с точностью 98 процентов.
«Теперь мы обрабатываем каждое сообщение из даркнета с помощью Gemini и на основе этого выделяем, какие угрозы действительно имеют значение», — рассказал нам менеджер по продукту Google Threat Intelligence Брэндон Вуд, добавив, что это включает активность брокеров первоначального доступа, утечки данных, инсайдерские угрозы и другую информацию.
«Мы видим от восьми до десяти миллионов событий в день, и мы можем очень быстро их обработать», — сказал он.
Для сравнения, по словам Вуда, традиционные инструменты мониторинга даркнета в основном ищут ключевые слова и используют регулярные выражения для сопоставления этих терминов, генерируя от 80 до 90 процентов ложных срабатываний. «Это в основном создает шум для команды аналитиков угроз», — отметил он.
Вот как работает новый сервис. Клиент — скажем, Acme Bank — впервые открывает модуль мониторинга даркнета. Он подтверждает, что является Acme Bank, и Gemini создает профиль клиента.
«В течение пары минут мы возвращаем профиль с глубоким пониманием клиента, его среды, бизнес-операций, VIP-персон, брендов, технологий, — сказал Вуд. — Это то, что находится в открытом доступе, и мы предоставляем ссылки на весь этот контент, стараясь уменьшить «черные ящики» ИИ и LLM».
Затем инструмент Google автоматически генерирует оповещения, просматривая данные за последние семь дней для классификации потенциальных угроз. ИИ-агенты помечают данные из даркнета, а затем выполняют векторное сравнение для обнаружения украденных данных или вредоносной активности, которая может затронуть организацию.
«В течение пары минут начинают поступать оповещения за последнюю неделю, и мы приоритизируем каждое из них в очень простых терминах, — пояснил Вуд. — Мы смотрим на актуальность каждого из этих оповещений. Обсуждает ли злоумышленник конкретно элементы из профиля моей организации? А может, он говорит об элементах, которые могут быть в моем профиле? Это немного более двусмысленно».
Таким образом, например, если преступник в даркнете заявляет, что продает доступ к крупному североамериканскому банку с более чем 50 000 сотрудников и активами под управлением в размере 50 миллиардов долларов, Gemini установит связь между профилем Acme Bank и заявлениями злоумышленника и определит это как угрозу высокой степени серьезности.
Gemini также использует знания аналитиков-людей из Google Threat Intelligence Group, которые отслеживают 627 групп угроз.
«Мы смотрим, насколько серьезен этот брокер первоначального доступа? Насколько серьезна эта утечка данных? И используем Gemini для чтения контекста, который мы заложили в основу, а затем генерируем это оповещение», — говорит Вуд. «Наша цель — избавиться от сотен и тысяч в основном ложных срабатываний».
Google надеется, что ее клиенты начнут доверять рекомендациям, сгенерированным ИИ, которые описывают критические угрозы.
Однако, в зависимости от уровня доступа, предоставленного агентам разведки Gemini по даркнету, похоже, что этот инструмент ИИ может создать еще один вектор атаки для использования киберпреступниками.
«Мы в основном сосредоточены на общедоступной информации и контексте, который пользователь решает предоставить платформе, — сказал Вуд. — Google глубоко заботится о защите пользовательской информации. Мы внимательно смотрим, как интегрировать все больше аналитики и возможностей, но мы действительно работаем с нашими пользователями и клиентами, чтобы обеспечить большую прозрачность в том, как они хотят обмениваться информацией».
Но это еще не все (ИИ-агенты)
В дополнение к инструменту разведки по даркнету Google также добавила ИИ-агентов (в предварительной версии) в Google Security Operations для автоматизации реагирования на угрозы. Клиенты могут встраивать агентов, включая агента Google по триажу и расследованию, непосредственно в рабочие процессы, позволяя ему автономно расследовать оповещения, собирать доказательства для анализа и предоставлять вердикты — наряду с объяснением своей логики.
Кроме того, клиенты Google Security Operations теперь могут создавать собственных агентов корпоративной безопасности с поддержкой удаленного сервера протокола контекста модели (MCP). Эта функция, которая теперь общедоступна, означает, что клиентам не нужно размещать собственный клиентский сервер MCP для операций безопасности. Это также обеспечивает унифицированное управление и контроль в Google Security Operations для создаваемых ими агентов безопасности. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
