Що створив Google для боротьби з ransomware?

Технологічний гігант розробив спеціалізовану ШІ-модель, вбудовану в Google Drive, яка виявляє ознаки шифрувальників у реальному часі та автоматично блокує їхній доступ до файлів користувачів.

Чому традиційні антивіруси не справляються?

За даними Mandiant (підрозділ Google з кібербезпеки), 21% кібератак у 2024 році були пов’язані з ransomware, а середні збитки від вимагань перевищили 7,58 мільйона доларів — антивіруси діють лише до активації зловмисного коду.

Коли з’явиться доступ до нової технології?

Відкрите бета-тестування розпочалося 2 жовтня 2024 року для користувачів Google Workspace, великі корпоративні клієнти вже випробували систему з позитивними відгуками.

Чому антивірус більше не захищає від сучасних загроз?

Традиційний підхід до боротьби з ransomware виявився неефективним у 2024 році, коли шифрувальники еволюціонували завдяки великим мовним моделям та навчилися обходити класичні антивірусні рішення. Кристіна Бер, віцепрезидентка з управління продуктами Google Workspace, та Люк Кемері, провідний груповий менеджер продуктів, пояснили: ransomware перестав бути суто ІТ-проблемою і тепер паралізує виробничі лінії, роздрібну торгівлю та лікарняні системи.

За даними Mandiant, підрозділу Google з кібербезпеки, у 2024 році 21% виявлених кібератак були пов’язані з програмами-вимагачами. Середні витрати на викуп перевищили 7,58 мільйона доларів. Класичні антивіруси працюють на превентивному рівні — намагаються зупинити зловмисний код до його активації, але сучасні шифрувальники, особливо ті, що використовують ШІ, змінюють свої параметри та успішно проникають крізь захист.

«Ми спостерігали драматичне прискорення цієї тенденції, особливо в першій половині 2024 року, коли ransomware почав використовувати великі мовні моделі», — зазначив Кемері в коментарі для Information Age.

Як працює ШІ-охоронець від Google?

Нова система діє за принципом цифрового охоронця на вході до клубу: вона не намагається зупинити ransomware до інфікування пристрою, натомість виявляє зловмисну активність після проникнення та блокує можливість зашкодити даним. ШІ-модель Google навчена на мільйонах реальних зразків ransomware і безперервно моніторить файли в Google Drive для настільних систем Windows та macOS.

Коли система виявляє характерні ознаки шифрування чи пошкодження файлів, вона миттєво призупиняє синхронізацію з хмарою для всіх уражених файлів. Ransomware виявляється в ізоляції — він може зашифрувати локальні копії, але не досягне хмарного сховища, де зберігаються незаймані версії документів.

Користувач отримує сповіщення про виявлену загрозу з чіткими інструкціями, як відновити файли до попередньої версії буквально за кілька кліків. Система використовує дані з VirusTotal — платформи, де дослідники безпеки діляться інформацією про нові загрози, що дозволяє виявляти навіть невідомі раніше штами ransomware.

Які ризики помилкових спрацювань?

Кемері визнав, що система генерує невелику кількість хибних спрацювань, проте вони виникають переважно під час тестів, спеціально розроблених так, щоб «бути нерозрізненими від дій зловмисного інсайдера». Для звичайних користувачів ймовірність помилкового блокування мінімальна.

Великі корпоративні клієнти Google Workspace вже випробували технологію з позитивними відгуками. «Очікуйте побачити великі імена серед користувачів», — натякнув Кемері, не називаючи конкретних компаній через угоди про конфіденційність.

Чи є аналоги в Австралії та світі?

Університет Чарльза Стюарта в Новому Південному Уельсі (Австралія) розробив схоже рішення на початку 2024 року — технологію Redwire, яка проактивно виявляє та запобігає зараженню ransomware у сховищах даних. Проте Google має перевагу масштабу: його рішення доступне мільйонам користувачів Google Workspace по всьому світу.

Боб О’Доннелл, президент і головний аналітик консалтингової компанії Technalysis Research, назвав новий функціонал «інноваційним способом» уникнути загроз ransomware, водночас «даючи кінцевим користувачам можливість продовжувати працювати». Він підкреслив, що рішення корисне не лише для користувачів Google Workspace, але й для компаній та приватних осіб, які використовують інші офісні пакети.

Чому це важливо знати

Для українських компаній та державних установ, які активно переходять на хмарні рішення в умовах воєнного стану, захист від ransomware критично важливий — атаки шифрувальників можуть паралізувати роботу критичної інфраструктури. Рішення Google демонструє нову філософію кібербезпеки: замість гонитви за новими загрозами система приймає неминучість проникнення зловмисного коду та зосереджується на мінімізації шкоди. Українські ІТ-компанії, зокрема ті, що працюють у сфері кібербезпеки, можуть використати цей підхід для розробки власних захисних рішень, адаптованих до специфіки вітчизняного ринку.