Η Google έχει αναπτύξει επίσημα πράκτορες Gemini AI στο Google Threat Intelligence για να παρακολουθούν αυτόνομα φόρουμ σκοτεινού ιστού σε δημόσια προεπισκόπηση. Αυτοί οι πράκτορες επεξεργάζονται εκατομμύρια αναρτήσεις καθημερινά, χρησιμοποιώντας προηγμένο οργανωτικό προφίλ για τον εντοπισμό συγκεκριμένων κινδύνων ασφαλείας, όπως διαρροές δεδομένων και μεσίτες αρχικής πρόσβασης.
Η παραδοσιακή παρακολούθηση σκοτεινού ιστού βασίζεται σε μεγάλο βαθμό στο regex και τη στατική απόξεση λέξεων-κλειδιών, η οποία συνήθως δημιουργεί ένα ποσοστό ψευδώς θετικών 80 έως 90 τοις εκατό για τις ομάδες πληροφοριών απειλών.
Για να ξεπεραστεί αυτός ο περιορισμός, οι πράκτορες Gemini της Google απορροφούν νοημοσύνη ανοιχτού κώδικα και δεδομένα που παρέχονται από τους χρήστες για να δημιουργήσουν ένα ολοκληρωμένο προφίλ των VIP, των επωνυμιών και της στοίβας τεχνολογίας ενός οργανισμού. Στη συνέχεια, η τεχνητή νοημοσύνη εφαρμόζει συγκρίσεις διανυσμάτων για να χαρτογραφήσει διφορούμενες αξιώσεις σκοτεινού ιστού απευθείας σε αυτό το προφίλ, μειώνοντας δραστικά τον θόρυβο που δεν μπορεί να ενεργοποιηθεί.
Το Gemini μπορεί να επεξεργαστεί 8 έως 10 εκατομμύρια συμβάντα σκοτεινού ιστού κάθε μέρα λόγω της μεγάλης κλίμακας τηλεμετρίας του. Οι κυνηγοί απειλών της Google βρήκαν σε εσωτερικές δοκιμές ότι το σύστημα αναλύει αυτά τα συμβάντα με 98 τοις εκατό ακρίβεια. Ο Brandon Wood, ο διευθυντής προϊόντων Threat Intelligence της Google, είπε στο The Register.
Η μηχανή πληροφοριών εντοπίζει συγκεκριμένα κινδύνους υψηλής σοβαρότητας, όπως απειλές από εμπιστευτικές πληροφορίες, δραστηριότητα μεσίτη αρχικής πρόσβασης και μη επαληθευμένες διαρροές δεδομένων προτού κλιμακωθούν.
Σύγκριση αναγνώρισης απειλών
| Χαρακτηριστικό | Παραδοσιακή παρακολούθηση Dark Web | Ευφυΐα Απειλής Διδύμων |
|---|---|---|
| Μηχανισμός Ανίχνευσης | Κανόνες στατικής απόξεσης λέξεων-κλειδιών και regex | Σύγκριση διανυσμάτων LLM και δημιουργία προφίλ με βάση τα συμφραζόμενα |
| Ψευδώς θετικό ποσοστό | 80% έως 90% | Μειωμένος θόρυβος με ακρίβεια 98%. |
| Πλαίσιο απειλής | Μεμονωμένες επιτυχίες λέξεων-κλειδιών | Συσχετίζεται με συγκεκριμένα περιουσιακά στοιχεία της επιχείρησης και VIP |
Όταν ένας ηθοποιός απειλής δημοσιεύει σε ένα σκοτεινό φόρουμ ιστού πουλώντας πρόσβαση σε έναν οργανισμό της Βόρειας Αμερικής με περιουσιακά στοιχεία 50 δισεκατομμυρίων δολαρίων, τα παραδοσιακά εργαλεία συχνά χάνουν τη σύνδεση εάν το όνομα της εταιρείας παραλειφθεί.
Τα γλωσσικά μοντέλα του Gemini διασταυρώνουν αυτόματα αυτούς τους διφορούμενους οικονομικούς και δημογραφικούς ισχυρισμούς έναντι των καθιερωμένων εταιρικών προφίλ. Σχεδιάζοντας αυτές τις συμφραζόμενες συνδέσεις, το σύστημα επισημαίνει αμέσως τη θέση ως απειλή υψηλής σοβαρότητας για τον στοχευόμενο οργανισμό.
Πέρα από την παθητική παρακολούθηση, η ενότητα νοημοσύνης του σκοτεινού ιστού συσχετίζει τα ευρήματά της με δεδομένα από την ομάδα πληροφοριών Google Threat, η οποία παρακολουθεί ενεργά 627 διαφορετικές ομάδες απειλών.
Η Google έχει επίσης εισαγάγει αυτόνομους πράκτορες τεχνητής νοημοσύνης στο Google Security Operations για τη διαχείριση των ροών εργασιών διαλογής και έρευνας. Αυτοί οι δευτερεύοντες πράκτορες συλλέγουν αυτόνομα ιατροδικαστικά στοιχεία και παρέχουν δομημένες ετυμηγορίες σε συναγερμούς, ελαχιστοποιώντας το χειροκίνητο φόρτο εργασίας για τους αναλυτές ασφαλείας.
Η ανάπτυξη μοντέλων μεγάλων γλωσσών για την επεξεργασία κακόβουλων φόρουμ εισάγει πιθανά ζητήματα λειτουργικής ασφάλειας, προτρέποντας την Google να περιορίσει προσεκτικά τον τρόπο με τον οποίο τα δεδομένα πελατών αλληλεπιδρούν με το εργαλείο.
Τα μοντέλα βασίζονται αποκλειστικά σε πληροφορίες που είναι διαθέσιμες στο κοινό και στο συγκεκριμένο πλαίσιο που εξουσιοδοτείται από ομάδες ασφαλείας εντός της πλατφόρμας. Παρέχοντας αναφορές για όλα τα δεδομένα ανοιχτού κώδικα που χρησιμοποιούνται στη δημιουργία προφίλ, η Google στοχεύει να μειώσει τη φύση του μαύρου κουτιού των LLM και να διατηρήσει τη διαφάνεια.
Η εισαγωγή αμυντικών πρακτόρων τεχνητής νοημοσύνης συμπίπτει με πρόσφατες αναφορές που επιβεβαιώνουν ότι οι φορείς απειλών που υποστηρίζονται από το κράτος χρησιμοποιούν ενεργά το Gemini για να επιταχύνουν τις δικές τους επιχειρήσεις στον κυβερνοχώρο.
Οι εισβολείς ενσωματώνουν την τεχνητή νοημοσύνη στις φάσεις πριν από την εισβολή του κύκλου ζωής της επίθεσης για αναγνώριση, ανάλυση στόχων και ανάπτυξη κακόβουλου λογισμικού. Η ανάπτυξη εργαλείων παρακολούθησης τεχνητής νοημοσύνης υψηλής ακρίβειας έχει καταστεί ως εκ τούτου απαραίτητο αντίμετρο για τον εντοπισμό αυτών των εκστρατειών επίθεσης με ταχύτητα μηχανής πριν επιτευχθεί η αρχική πρόσβαση.
