Gmail ha già in atto funzionalità di protezione della posta in arrivo degli utenti da spam, tentativi di phishing e malware.
I modelli di machine learning esistenti, secondo quanto ha reso noto Google, sono molto efficaci in questo tipo di difesa e, insieme alle altre protezioni in atto, aiutano a bloccare oltre il 99,9% delle minacce in modo che non raggiungano le caselle di posta di Gmail.
Una delle protezioni chiave adottate da Google, sottolinea la società di Mountain View, è lo scanner di malware, che elabora oltre 300 miliardi di allegati ogni settimana per bloccare i contenuti dannosi. Il 63% dei documenti nocivi bloccati, informa Google, differisce di giorno in giorno.
Per stare al passo con questa minaccia in costante evoluzione, Google ha recentemente aggiunto una nuova generazione di scanner per documenti che si basa sul deep learning per migliorare le capacità di rilevamento. Google ha ora condiviso i dettagli di questa tecnologia e dei suoi successi iniziali.
Google ha annunciato che, da quando lo scanner di nuova generazione è stato lanciato, alla fine del 2019, ha aumentato del 10% la copertura del rilevamento giornaliero di documenti di Office che contengono script dannosi. In alcuni casi, di attacchi “adversarial” e “bursty”, il nuovo scanner ha migliorato il tasso di rilevamento del 150%.
Sotto il “cofano”, lo scanner di nuova generazione di Google utilizza un modello di deep learning TensorFlow addestrato con TFX (TensorFlow Extended) e un analizzatore di documenti custom per ogni tipo di file.
I document analyzer si occupano del parsing del documento, dell’identificazione di pattern di attacco comuni, dell’estrazione di macro, di deoffuscare il contenuto e di eseguire l’estrazione di caratteristiche (feature extraction).
Il rafforzamento delle capacità di rilevamento dei documenti è una delle aree di interesse chiave, spiega Google, poiché i documenti dannosi rappresentano il 58% del malware destinato agli utenti di Gmail. La società di Mountain View sta ancora sviluppando attivamente questa tecnologia e al momento la utilizza solo per la scansione dei documenti Office.
Il nuovo scanner, spiega ancora Google, agisce in parallelo con le funzioni di rilevamento esistenti, e tutte contribuiscono al verdetto finale da parte del motore decisionale, per bloccare un documento nocivo.
Combinare scanner diversi è uno dei cardini dell’approccio defense-in-depth di Google per far sì che il sistema di rilevamento sia resistente agli attacchi adversarial.