Google introduceert een nieuwe, door AI aangedreven beveiligingslaag in Google Drive die ransomware moet stoppen: na de eerste preventielaag, maar voor de (dure) herstellaag.
De nieuwe oplossing focust niet op het detecteren van de malware zelf, maar eerder op het herkennen van het destructieve gedrag ervan; een aanpak die – althans volgens het bedrijf – een fundamentele leemte in de huidige cyberdefensie opvult. Luke Camery, Lead Group Product Manager bij Google Workspace die met zijn team de nieuwe oplossing ontwikkelde, omschrijft dat als een oplossing voor ‘de fundamentele fout in de status quo van ransomwarebescherming’. Hij omschrijft de oplossing in een online briefing met Data News als een nieuwe laag in de security-stack: op een niveau hoger dan de traditionele antivirussoftware en endpoint-beveiliging; maar dan wel weer een niveau lager dan herstelsoftware. De bedoeling is om een ransomware-aanval te stoppen nadat die helaas toch al voorbij het eerste detectiepunt geraakt is, maar nog voordat die ernstige schade toebrengt en een volledig netwerk gijzelt.
‘Veronderstellen dat antivirus al gefaald heeft’
‘We zeggen niet dat de traditionele securityspelers slecht werk leveren, integendeel. Aan de andere kant tonen de aanhoudende successen van ransomware-aanvallen helaas wel aan dat de bestaande aanpak onvoldoende is’, aldus Camery. Google vergelijkt de situatie met de beveiliging van een huis dat bestaat uit slotenmakers en verzekeringsmakelaars, maar waarbij een alarmsysteem ontbreekt dat de inbreker detecteert en isoleert. De nieuwe functionaliteit in Google Drive voor desktop, beschikbaar voor Windows en macOS, ambieert om precies die rol te vervullen. Het is een ‘volledig nieuwe veiligheidslaag om ransomware-activiteit op te vangen in de veronderstelling dat het je AV-bescherming al heeft omzeild’, legt Luke Camery uit.
Eigen AI-model
De kern van de oplossing is – hoe kan het ook anders anno 2025 – een eigen AI-model, getraind op miljoenen ransomware-voorbeelden. Die AI zoekt continu naar de gedragspatronen van een aanval, zoals het trachten massaal te versleutelen van bestanden. Zodra dergelijk gedrag wordt gedetecteerd, stopt Drive onmiddellijk de synchronisatie met de cloud, waardoor je bestanden in een een soort quarantaine worden geplaatst om verdere verspreiding te voorkomen.
Een cruciale vraag voor elke IT-manager is hoe deze nieuwe tool zich verhoudt tot de reeds bestaande cybersecurity-stack in hun organisatie? Google is hierover zeer duidelijk. ‘We hebben dit opzettelijk ontworpen als een geïsoleerde nieuwe laag’, antwoordt Camery op de vraag. ‘We zeggen niet dat je jouw antivirus moet afschaffen; dat speelt nog steeds een belangrijke rol. Dit is bedoeld als een tweede terugvaloptie.’
Ook herstelling
Gebruikers ontvangen bij het detecteren van een aanval een melding op hun desktop en ze worden ook via e-mail gïnformeerd over de tegengehouden aanval. Vervolgens kan je via een wizard de situatie voor die paar besmette bestanden eenvoudig terugdraaien door een niet-besmette versie van de bestanden terug te zetten. Uit een demo die we te zien kregen, zou dat ook zeer intuïtief en gemakkelijk moeten kunnen: te vergelijken met het terugzetten van een bestand uit de Prullenbak van Windows en dus geen complexe herinstallatie en geen nood aan tools van derden hiervoor.
Voor IT-teams is er wel de nodige controle: beheerders ontvangen meldingen in de Admin-console en kunnen gedetailleerde informatie raadplegen in het auditlog. De nieuwe functionaliteit staat standaard ingeschakeld, maar admins hebben de mogelijkheid om de detectie- en herstelmogelijkheden uit te schakelen indien nodig.
De nieuwe functionaliteit wordt vanaf vandaag uitgerold in een open bèta en is zonder extra kosten inbegrepen in de meeste commerciële Workspace-abonnementen.