Google расширяет экосистему Threat Intelligence новым инструментом на базе Gemini, который в автоматическом режиме отслеживает даркнет и выделяет угрозы, релевантные конкретной организации. Сервис уже доступен клиентам в формате публичного превью и претендует на изменение подхода к мониторингу закрытых площадок.
Новый инструмент Google Threat Intelligence для даркнет-мониторинга
По данным Google, ИИ-агенты Gemini ежедневно анализируют от 8 до 10 миллионов публикаций на даркнет-площадках. Речь идет о форумах, маркетплейсах, теневых чатах и других ресурсах, где обсуждаются и продаются доступы, базы данных и инструменты для атак.
Ключевая задача сервиса — не просто собирать упоминания бренда, а выделять действительно значимые индикаторы угроз. В фокус попадают:
— активность брокеров начального доступа (Initial Access Brokers), продающих взломанные учетки и VPN-доступы;
— утечки конфиденциальных данных и учетных записей;
— инсайдерские предложения и попытки продажи внутренних сведений;
— оперативная информация о планируемых атаках и новых инструментах злоумышленников.
По словам продакт-менеджера Google Threat Intelligence Брэндона Вуда, внутренние тесты показывают до 98% точности анализа. Формально это означает значительное снижение «шума» по сравнению с традиционными решениями, однако в боевых условиях этот показатель всегда требует дополнительной валидации и настройки под конкретную организацию.
Почему классический мониторинг даркнета больше не справляется
Традиционные инструменты мониторинга даркнета в большинстве случаев используют поиск по ключевым словам и регулярные выражения. Такой подход плохо учитывает контекст и специфику жаргона киберпреступников: совпадение по слову еще не означает реальную угрозу для конкретной компании.
В результате доля ложноположительных срабатываний может достигать 80–90%, что создает типичную проблему для SOC и команд ИБ — «усталость от инцидентов» (alert fatigue). Специалисты тратят время на разбор большого количества нерелевантных оповещений и могут пропустить действительно критичный сигнал.
Подход Gemini принципиально иной: акцент смещен с поиска совпадений по строкам на понимание смысла и контекста публикаций, что особенно важно в даркнете, где активно используются сленг, эвфемизмы и завуалированные описания.
Как работает профиль организации в Google Threat Intelligence
При первом запуске модуля мониторинга клиент подтверждает базовые сведения о своей организации. На основе этих данных ИИ за несколько минут формирует детализированный профиль компании, используя исключительно открытые источники (OSINT).
В профиль включаются:
— ключевые бизнес-направления и география присутствия;
— технологический стек и используемые платформы;
— VIP-персоны (руководители, публичные фигуры);
— бренды, торговые марки и дочерние структуры.
Каждый элемент сопровождается ссылками на источники, что позволяет верифицировать информацию и при необходимости скорректировать профиль. Именно этот профиль затем используется как «матрица сопоставления» с данными из даркнета.
Векторный анализ и приоритизация угроз
После формирования профиля Gemini начинает автоматически генерировать предупреждения о потенциальных угрозах за последние семь дней. ИИ-агенты размечают собранные данные и используют векторное сравнение — по сути, перевод текстовых описаний в многомерное пространство признаков — для поиска совпадений с профилем организации.
Каждое обнаруженное упоминание получает приоритет по степени релевантности: от прямого упоминания компании, ее доменов или систем до косвенных совпадений по отрасли, размеру бизнеса или региону. Чем точнее совпадение, тем выше приоритет алерта.
Пример, который приводит Google: если в даркнете появляется объявление о продаже доступа к крупному североамериканскому банку с более чем 50 000 сотрудников и активами в 50 млрд долларов, система сопоставляет эти атрибуты с профилем клиента. При совпадении параметров такая активность помечается как критическая угроза, даже если название банка прямо не указано.
Дополнительно сервис опирается на наработки аналитиков Google Threat Intelligence Group, отслеживающих активность 627 хак-групп. Это позволяет связывать отдельные инциденты с известными киберпреступными кластерами и точнее оценивать риски.
ИИ-агенты в Google Security Operations: курс на автономный SOC
Параллельно Google анонсировала (также в режиме превью) ИИ-агентов для Google Security Operations, которые должны автоматизировать реагирование на обнаруженные угрозы.
Агент сортировки и расследования способен:
— самостоятельно анализировать поступающие предупреждения;
— агрегировать артефакты и доказательства (логи, телеметрию, сетевые события);
— формировать выводы о характере инцидента и уровне критичности;
— объяснять логику принятого решения в человекочитаемом виде.
Благодаря поддержке Model Context Protocol (MCP) клиенты Google Security Operations могут создавать собственных ИБ-агентов, которые учитывают специфику инфраструктуры и бизнес-процессов. Поддержка удаленного MCP-сервера уже находится в статусе GA, что открывает путь к интеграции с существующими SIEM/SOAR-процессами.
Для компаний это означает возможность постепенно переходить от полуавтоматического реагирования к более автономным сценариям — при условии сохранения человеческого контроля и четких процедур эскалации.
Появление ИИ-мониторинга даркнета на базе Gemini и ИИ-агентов для Google Security Operations показывает, что рынок кибербезопасности ускоренно движется к модели, где машина берет на себя рутинный анализ и «шум», а специалисты фокусируются на принятии решений и сложных инцидентах. Организациям уже сейчас имеет смысл оценить свои процессы Threat Intelligence и реагирования на инциденты: где можно использовать ИИ-инструменты для отсечения нерелевантных данных, как переобучить команды SOC работать с ИИ-агентами и каким образом встроить новые сервисы в существующую архитектуру безопасности. Такой подход увеличивает шансы вовремя обнаружить утечки, активность брокеров начального доступа и целевые атаки, пока они еще обсуждаются в даркнете, а не превращаются в полномасштабный инцидент.
