A Google Threat Intelligence rendszerében a Gemini-alapú ágensek önjáróan elemezgetik a dark webes fórumokat, hogy az eddigieknél hatékonyabban tárják fel az adatszivárgásokat és a kezdeti hozzáféréseket.
A legtöbb fenyegetésfelderítő csapat fő problémája nem az adatok, hanem a relevancia hiánya. A nagy mennyiségű téves riasztás között nehezebben azonosíthatók a jelentős fenyegetések, miközben a riasztások számának csökkentése azzal a kockázattal járna, hogy egyszerűen lemaradnak róluk – olvasható a Google Security & Identity blogjának hét elejei bejegyzésében. A társaság erre kínálna megoldást a Google Threat Intelligence új funkciójának bevezetésével, amelynek keretei között a Gemini mesterséges intelligenciával elemez naponta több millió eseményt a sötét weben, kiszűrve azok közül az ügyfelek tevékenységének szempontjából releváns fenyegetéseket már a támadások korai szakaszában.
A vállalat által idézett értékelések szerint a fenyegetésfelderítés ma már nem egyszerűen technikai eljárást, hanem a modern kiberbiztonsági programok stratégiai irányítását jelenti, a dark weben kutató eszközök azonban átlagosan több mint 90 százalékos arányban produkálják a téves riasztásokat. A Google Threat Intelligence ezt az arányt úgy fordítaná meg, hogy a kulcsszavak manuális megadása és frissítgetése helyett automatikusan létrehozza az ügyfelek üzleti tevékenységére és missziójára jellemző szervezeti profilokat, majd automatikusan igazodik azok változásaihoz, különös adminisztratív terhek nélkül is biztosítva a külső eseményeket elemző rendszer naprakész „kontextuális relevanciáját”.
Idejében tárnák fel az összefüggéseket
A Google belső tesztjei állítólag azt mutatják, hogy a Google Threat Intelligence 98 százalékos pontossággal képes értékelni naponta sok millió külső eseményt, rávilágítva a legnehezebben nyomon követhető fenyegetésekre és a mögöttük álló szereplőkre. A bejegyzésben szereplő példa egy olyan forgatókönyvet vázol, amelyben egy rejtett fórumon aktív VPN-hozzáférést próbálnak értékesíteni egy 15 milliárd dolláros éves bevétellel rendelkező európai kiskereskedelmi céghez olyan hitelesítő adatokkal, amelyek elérést biztosítanak a központi bérszámfejtési és logisztikai portálokhoz. Mivel szándékosan kerülik a célpont megnevezését, a biztonsági csapatok sem kapnak értesítést a kulcsszavak egyezéséről.
Az új dark webes MI-eszköz azonban keresztreferenciákat alkalmaz a fenti bejegyzés és az ügyfelek profilja között, figyelembe véve az üzletágat, a bevételi sávot, a földrajzi helyet és az adott portáltípusokat is, jó esetben még azelőtt összekötve ezeket a pontokat, mielőtt értékesítenék az információt. A Google szerint a védekezők előnyhöz juthatnak az ellenféllel szemben a Google vertikális integrációján keresztül (hardver, számítási kapacitás, alapvető Gemini modellek a Google Threat Intelligence Group elemzőinek támogatásával), hogy elemezhessék a hagyományos eszközökkel nem igazán feldolgozható, fórumokról, szolgáltatásokból és műszaki infrastruktúrából származó eseményfolyamokat.
Tovább a cikkre: bitport.hu és cloud.google.com
