В Google Threat Intelligence появился новый инструмент на базе Gemini, который мониторит даркнет в поисках угроз для конкретных организаций. Сервис уже доступен клиентам платформы в режиме публичного превью.
По словам продакт-менеджера Google Threat Intelligence Брэндона Вуда (Brandon Wood), ИИ-агенты Gemini анализируют от 8 до 10 млн публикаций в даркнете ежедневно, вычленяя из этого потока действительно релевантные угрозы: активность брокеров начального доступа, утечки данных, инсайдерские угрозы и другую оперативную информацию. Внутренние тесты показывают, что точность анализа достигает 98%.
Для сравнения: традиционные инструменты мониторинга даркнета в основном парсят площадки по ключевым словам и применяют регулярные выражения для поиска совпадений. Такой подход, по словам Вуда, дает от 80% до 90% ложноположительных срабатываний и по большей части просто генерирует дополнительный «шум» для специалистов.
Новый сервис работает иначе. При первом запуске модуля мониторинга клиент подтверждает данные своей организации, и Gemini за пару минут составляет профиль компании с учетом ее бизнес-операций, технологического стека, VIP-персон и брендов. Вся информация берется из открытых источников, и каждый пункт сопровождается ссылками.
Далее инструмент автоматически генерирует предупреждения, классифицируя потенциальные угрозы за последние семь дней. ИИ-агенты размечают данные из даркнета и проводят векторное сравнение для выявления украденной информации или вредоносной активности, которая может затронуть организацию. Каждое предупреждение получает приоритет по релевантности: упоминает ли злоумышленник элементы профиля компании напрямую или только косвенно.
К примеру, если преступник в даркнете продает доступ к крупному североамериканскому банку с более чем 50 000 сотрудников и активами в 50 млрд долларов, Gemini сопоставит эти параметры с профилем клиента и при совпадении пометит угрозу как критическую. Кроме данных из даркнета, система использует наработки аналитиков Google Threat Intelligence Group, которые отслеживают 627 хак-групп.
Помимо даркнет-мониторинга, в Google также анонсировали (пока в превью) ИИ-агентов для Google Security Operations, которые автоматизируют реагирование на угрозы. Агент сортировки и расследования сможет автономно анализировать предупреждения, собирать доказательную базу и выносить вердикты, при этом объясняя логику своих решений. Кроме того, клиенты Google Security Operations смогут создавать собственных ИБ-агентов благодаря поддержке удаленного MCP-сервера (Model Context Protocol), причем эта функция уже доступна в GA.
