Новый аналитический инструмент в экосистеме Google Threat Intelligence — Agentic — может заметно изменить подход к расследованию киберинцидентов. По сути, это не просто чат-бот поверх базы индикаторов, а специализированный ИИ-помощник для threat intelligence и incident response. Он опирается на LLM-модели, данные Google TI, отфильтрованный OSINT и, в отдельных случаях, Google Search, чтобы помогать аналитику быстрее собирать контекст по угрозам, IoC, кампаниям, уязвимостям и группировкам.
Вместо ручного поиска по десяткам источников специалист может сформулировать задачу в чате: проверить репутацию IP-адреса, собрать связи хеша с кампаниями и threat actors, подготовить краткую сводку по атаке или оценить активность конкретной группировки за последние 90 дней. Agentic также умеет генерировать отчёты для разных аудиторий — от технических аналитиков до руководства, которому важнее понять бизнес-риски, возможный ущерб и приоритеты реагирования.
Отдельно интересен Malware Analysis Agent. Он может анализировать вредоносные файлы, объяснять их поведение на естественном языке и, в некоторых случаях, выполнять более глубокий разбор, включая элементы реверс-инжиниринга. Но на данный момент возможности анализа только развиваются, не все типы файлов поддерживаются одинаково, а часть антианалитических техник malware всё ещё может мешать автоматическому разбору.
Судя по описанию и документации это очень красиво оформленная ИИ для аналитиков, но в этом и скрывается недостаток. И для аналитика это критично, потому что в threat intelligence слепая вера в красивую ИИ-сводку, она опасна — каждый вывод должен быть проверяемым! В любом случае данная технология может заметно ускорить работу. Она отлично справится с рутиной, на которую раньше уходила львиная доля времени: собрать индикаторы, пробить их по базам, найти связи, перечитать несколько отчётов и только потом начать думать. И как с любой другой LLM если специалист не понимает threat intelligence, он рискует превратиться в оператора кнопки «сделай отчёт».
Спасибо, что дочитали до конца. Ещё больше новостей у меня в Telegram-канале.
ссылка на оригинал статьи https://habr.com/ru/articles/1032436/