Inga produkter i varukorgen.
Google-toppen om nya skyddet mot ransomware: ”Fokus på detektion och återställning”
cybersäkerhet Google stärker nu sitt skydd mot ransomware med en ny AI-baserad funktion i Google Drive för datorer. Luke Camery, group product manager på Google Drive, ger Techtidningen unika insikter i den nya funktionen.
Luke Camery / Foto: Pressbild & Adobe Stock
Den nya AI-baserade funktionen i Google Drive arbetar automatiskt för att upptäcka och stoppa pågående attacker i realtid.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
Med hjälp av maskininlärning analyserar systemet filförändringar och pausar synkronisering när något verkar misstänkt. Det gör det möjligt för användarna att snabbt återställa sina dokument till ett tidigare, säkert tillstånd.
Ransomware är fortfarande ett av de mest skadliga hoten mot företag och offentlig sektor. Enligt det amerikanska säkerhetsföretaget Mandiant stod ransomware för 21 procent av alla intrång under det senaste året. Den genomsnittliga globala kostnaden per incident landade på runt fem miljoner dollar.
Även om Googles egna molnbaserade dokument som Docs och Sheets än så länge inte drabbats av ransomware finns det andra filformat, som PDF och Microsoft Office samt även traditionella operativsystem som exempelvis Windows som är fortsatt sårbara.
Ett aktivt försvar
Bakom den nya funktionen står Googles globala säkerhetsteam för Drive och Docs. En av de som leder projektet är Luke Camery som är group product manager på Google Drive.
– Vi insåg att många kunder, särskilt stora europeiska organisationer som exempelvis Airbus, ser Google Drive som en “säker tillflyktsort” för sina filer, berättar han. När ransomware drabbar andra delar av infrastrukturen är Drive ofta platsen man litar på. Där föddes idén att göra Drive till ett aktivt försvar och inte bara en backup, säger Luke Camery till Techtidningen.
Google har under lång till byggt in starka skydd mot skadlig kod i Drive, bland annat genom en integration med VirusTotal. Med den nya releasen går man längre.
Nu fokuserar man inte bara på att identifiera skadlig kod, utan snarare på att upptäcka beteenden som tyder på att filer manipuleras genom exempelvis masskryptering eller korruption.
– För att ett ransomwareangrepp ska lyckas måste det förstöra dina filer – radera, kryptera eller korrupta dem. Det kan vi upptäcka med våra språkmodeller genom att avgöra om en fil fortfarande är mänskligt läsbar eller inte, säger Luke Camery.
“Varje gång någon testar systemet, lär sig modellen”
Det nya skyddet lanseras nu i en öppen betaversion som redan omfattar omkring 20 procent av användarna globalt. Målet är att nå en full utrullning inom kort.
Redan nu har företag börjat testa systemet genom att simulera ransomware-angrepp. Ett test som enligt Luke Camery både hjälper till att förbättra modellen och snabba upp reaktionstiderna.
– Varje gång någon testar systemet, lär sig modellen. Vi använder resultaten i realtid för att förbättra upptäckten. Det är en klassisk katt-och-råtta-situation där hastigheten är den svåraste faktorn.
Funktionen ingår utan extra kostnad i de flesta Google Workspace-abonnemang och även för konsumenter. Den är designad för att vara helt transparent för användaren och körs i bakgrunden utan att märkbart påverka prestandan för användaren.
När en attack misstänks pausas filsynkroniseringen automatiskt. It-administratörer får notifieringar och detaljerade loggar via Admin-konsolen och användaren kan med några klick återställa drabbade filer.
Möjlighet att återställa filer
Google ser den nya lösningen som ett komplement till traditionella antiviruslösningar. I stället för att bara försöka stoppa hot innan de aktiveras så fokuserar Drive snarare på att begränsa skadan och möjliggöra snabb återställning.
– Vi har sett att ransomware i dag handlar mindre om att stjäla data och mer om att stoppa verksamheter – sjukhus, banker, hotell – från att fungera. Målet är att slå ut affärskritiska processer. Därför fokuserar vi lika mycket på återställning som på detektion, säger Luke Camery.
Funktionen “Rewind” gör det möjligt att återställa filer till sin senaste säkra version. Luke Camery berättar att företag som drabbats i flera fall har drabbats kunnat återgå till normal drift inom timmar.
– Om du blir infekterad kan du logga in på exempelvis en Chromebook, öppna Drive och rulla tillbaka filerna. Vi har sett kunder få tillbaka hela arbetsflöden på under en dag. Det gör att behovet att betala lösensumma minskar dramatiskt. Vilket i förlängningen kan göra ransomware mindre lönsamt.
För europeiska kunder har frågan om digital suveränitet varit central. Google har därför byggt lösningen så att både data och detektionsmodeller hanteras regionalt.
– Europeiska kunder som valt att lagra sin data inom EU får en europeisk version av modellen. Den är tränad globalt men körs lokalt i Europa, så att all analys och detektion stannar inom regionen, berättar Luke Camery.
