大多數威脅情報團隊擁有大量數據,但他們會收到成千上萬的誤報,容易掩蓋真正重要的威脅。為此,Google 利用 Gemini 的 AI 代理程式深入暗網,每天爬取超過 1,000 萬則貼文,從中篩選出與特定組織有關的威脅。
內建在 Google Threat Intelligence 服務的暗網情報(dark web intelligence)目前進入公開預覽階段,是利用 Gemini 模型建立使用者的輪廓,並且掃描暗網,以判斷可能面臨的資安風險。Google 內部測試顯示,這項工具能以 98% 的準確率分析每天數百萬筆外部事件。
「現在我們會用 Gemini 處理暗網上每一則貼文,然後從中篩選出真正重要的威脅。」Google Threat Intelligence 產品經理 Brandon Wood 表示,這些內容包括首次入侵仲介活動、資料外洩、內部威脅以及其他情報。
「我們每天觀察到約 800 萬筆到 1,000 萬筆事件,並且能在極短時間內將其有效過濾」,Brandon Wood 表示。
相較之下,傳統暗網監測工具多半依賴關鍵字搜尋與正規表示式(regex)比對,誤報機率高達 80% 至 90%。「基本上這只是為威脅情報團隊製造雜訊」,Brandon Wood 表示。
暗網情報的運作方式是,假設客戶首次開啟暗網監測模組並確認身分後,Gemini 會建立客戶檔案。「在幾分鐘內,我們就能回傳一個對客戶有深入理解的輪廓,包括環境、業務運作、關鍵人物、品牌及技術等。」Brandon Wood 表示,這些資訊來自公開資料來源,並且附上引用出處,降低 AI 及其背後模型的「黑箱」問題。
接著,這項工具自動發出警示,回溯過去 7 天的資料以分類潛在威脅。AI 代理會標註暗網資料,並透過向量比對來偵測可能影響企業的資料外洩或惡意行為。
「在幾分鐘內,過去一週的警示就會開始湧入,我們也會用非常簡單的方式對每一則警示進行優先排序。」Brandon Wood 表示,這項工具會評估威脅的相關性,例如攻擊者是否明確提及客戶輪廓中的元素。
舉例來說,如果暗網上的不法分子兜售北美某家銀行的存取權限,這家銀行擁有超過 5 萬名員工與 500 億美元資產規模,Gemini 會將這些描述與銀行的輪廓進行比對,並判定為高度嚴重威脅。
此外,Gemini 會整合 Google Threat Intelligence Group(Google 威脅情報小組)真人分析師的知識,實際上 Google 威脅情報小組持續追蹤 627 個組織。
「我們會評估這個入侵仲介的嚴重性、資料外洩的嚴重性,並利用 Gemini 理解我們提供的背景脈絡後生成警示,我們的目標是擺脫成千上萬多半錯誤的警示。」Brandon Wood 表示,Google 希望客戶最終能信任 AI 產生、描述關鍵威脅的建議。
除暗網情報工具外,Google 也在 Google Security Operations 加入 AI 代理(目前也在預覽階段),用於自動化威脅回應。客戶可將這些 AI 代理嵌入工作流程,使其自主調查警示、收集證據並提供判斷結果,同時附上推論過程。
Google Security Operations 的客戶現在也能透過 MCP 伺服器支援,自行建立企業級資安代理。這項功能已經正式推出,代表客戶不需自行部署 MCP 客戶端,可在 Google Security Operations 平台內對資安代理進行統一治理與控管。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
