Google Drive: Nowa funkcja AI chroni przed ransomware

Google poszerza funkcje bezpieczeństwa swojej chmury o mechanizm oparty na sztucznej inteligencji, który automatycznie zatrzymuje i izoluje próbę zaszyfrowania plików w ramach ataku ransomware. Posunięcie to ma wzmocnić ofertę Drive w segmencie biznesowym i zrównać usługę z konkurencyjnymi rozwiązaniami, które już wcześniej wprowadziły podobne tarcze ochronne.

Google Drive: AI osłona przed ransomware w planach premium

Nowe narzędzie jest domyślnie aktywne dla organizacji korzystających z licencji Business, Enterprise, Education oraz Frontline. W momentach synchronizacji klient desktopowy porównuje sumy kontrolne i zawartość plików z modelami uczenia maszynowego trenowanymi na milionach przykładów złośliwego oprogramowania. Gdy algorytm uzna, że plik wykazuje charakterystykę znaną z kampanii ransomware, proces przesyłania zostaje przerwany, plik trafia do odizolowanej przestrzeni w chmurze, a użytkownik i administrator otrzymują powiadomienie e-mail oraz komunikat w interfejsie aplikacji.

Według inżynierów Google decyzja o domyślnym włączeniu ochrony wynika z rosnącej liczby ataków wymierzonych w SMB i edukację. Dane firmy Chainalysis wskazują, że w 2023 roku suma okupu wyłudzanego przez cyberprzestępców przekroczyła 1 mld USD, a średni czas przestoju organizacji po incydencie wyniósł ponad 20 dni. Automatyczne blokowanie zaszyfrowanych plików skraca okno potencjalnych strat i ułatwia odzyskanie danych z poprzednich wersji przechowywanych w Drive.

Jak działa wykrywanie i proces odzyskiwania danych

Silnik analizujący pliki bazuje na głębokich sieciach neuronowych, które klasyfikują zarówno metadane, jak i strukturę binarną. W chwili wykrycia zagrożenia Drive wykonuje trzy kroki: 1) wstrzymuje synchronizację, 2) blokuje lokalny dostęp wyłącznie do wcześniejszych, niezmodyfikowanych wersji, 3) wysyła szczegółowy raport do konsoli administratora. Raport zawiera strategię naprawczą obejmującą czyszczenie stacji roboczej, weryfikację innych punktów końcowych oraz przywrócenie wybranych wersji plików z historii zmian.

Jeśli administrator uzna, że był to fałszywy alarm, ma możliwość przywrócenia synchronizacji jednym kliknięciem. Mechanizm AI samodoskonali się na podstawie opatentowanego feedback loop, dzięki któremu kolejne aktualizacje modelu szybciej odróżniają prawidłowe archiwa od złośliwych plików szyfrujących.

Dostępność, zarządzanie i wpływ na politykę bezpieczeństwa

Z perspektywy zespołów IT kluczowe jest, że nowa funkcja może być wyłączona na poziomie domeny, jednostki organizacyjnej bądź grupy. Pozwala to zachować zgodność z wewnętrznymi regulacjami lub restrykcyjnymi środowiskami, w których skanowanie treści jest zabronione. Włączenie ochrony nie wpływa natomiast na cennik pakietów; Google podkreśla, że ma ona zwiększyć wartość subskrypcji bez dodatkowych opłat.

Wdrażając AI-driven ransomware detection, firma wchodzi na rynek już penetrowany przez OneDrive oraz Dropbox, gdzie podobne skanery funkcjonują od kilkunastu miesięcy. Konkurencja najczęściej opiera się na sygnaturach AV i heurystyce; Google deklaruje, że sięga po modele predykcyjne zdolne rozpoznać nawet zupełnie nowe odmiany malware przed publikacją oficjalnych sygnatur.

Kompleksowa strategia ochrony przed ransomware

Nawet najbardziej zaawansowane filtry w chmurze nie zastąpią spójnej polityki cyberbezpieczeństwa. Eksperci z CISA i AWS przypominają o kilku filarach, które znacząco obniżają ryzyko skutecznego ataku: 1) wymuszanie uwierzytelniania wieloskładnikowego na krytycznych kontach, 2) segmentacja sieci i konfiguracja minimalnych uprawnień, 3) regularne łatki systemów operacyjnych i aplikacji, 4) utrzymywanie kopii zapasowych offline lub w oddzielnej chmurze, 5) szkolenia z rozpoznawania phishingu, 6) ciągłe monitorowanie logów pod kątem nietypowych wzorców szyfrowania, 7) szyfrowanie poufnych danych kluczem zarządzanym wyłącznie przez organizację, aby uniemożliwić ich modyfikację przez malware.

Implementacja wielowarstwowej obrony – od zabezpieczeń punktów końcowych, przez chmurę, aż po procedury reagowania – pozwala ograniczyć skutki incydentów nawet wtedy, gdy pojedynczy system zawiedzie. Nowe rozwiązanie Google można więc postrzegać jako ważne, lecz tylko jedno z ogniw ekosystemu ochrony przed szantażystami.