Gemini выявляет преступную активность в шуме даркнета

Чтобы помочь командам принимать более быстрые и точные решения по возникающим угрозам, Google представил функцию разведки даркнета в рамках Google Threat Intelligence. Используя возможности Gemini, эта функция анализирует миллионы событий в даркнете ежедневно и выявляет угрозы, имеющие отношение к деятельности конкретной организации.

«Вместо того чтобы требовать от вашей команды вручную вводить и обновлять ключевые слова, наша новая функция разведки даркнета использует Gemini для автономного построения профиля организации, специфичного для вашей бизнес-деятельности и задач, автоматически корректируя его по мере их изменения», — заявили в Google.

В компании пояснили, что функция обрабатывает большие объёмы данных с форумов, сервисов и технической инфраструктуры, используя собственные системы. Аналитики из группы Google Threat Intelligence Group также добавляют контекст на основе постоянного мониторинга активности в даркнете, помогая интерпретировать и уточнять сигналы, выявленные системой.

Компания также описала сценарий, в котором брокер начального доступа рекламирует доступ через VPN к сети крупного европейского ритейлера, не называя организацию, и предлагает учётные данные, связанные с внутренними системами, такими как расчёт заработной платы и логистика. Поскольку некоторые устаревшие инструменты полагаются на прямое совпадение ключевых слов, такая активность может остаться незамеченной, если цель не указана явно.

Брэндон Вуд, менеджер по продукту Google Threat Intelligence, пояснил, что многие существующие инструменты не могут отличить такие термины, как «яблоко» (фрукт) и «Apple» (компания), из-за чего аналитики могут получать оповещения, связанные с нерелевантными упоминаниями, такими как имена или общие термины.

По словам Google, новый подход заключается в сопоставлении деталей, таких как диапазон выручки, географическое положение и типы систем, с профилем организации. Это позволяет системе связать активность с конкретным субъектом и отметить потенциальную компрометацию до того, как доступ будет продан или использован.