AI do wykrywania ransomware w Google Drive

Google Drive z AI do wykrywania ransomware – wstrzymywanie sync i szybkie przywracanie plików jest nową warstwą ochrony wprowadzoną przez Google do aplikacji Google Drive dla komputerów. Ma ona wykrywać symptomy ataku ransomware, automatycznie wstrzymywać synchronizację i umożliwiać szybkie przywrócenie plików do zdrowych wersji. Google Drive z AI do wykrywania ransomware i szybkiego przywracania danych oferuje funkcjonalność, która jest udostępniana w otwartej becie od 30 września 2025 i jest wliczona w większość komercyjnych planów Google Workspace bez dodatkowych kosztów. Użytkownicy indywidualni również zyskują możliwość przywracania plików

Co widzi użytkownik i administrator

• Użytkownik: powiadomienie w aplikacji Drive dla komputerów i e-mail z informacją o wykryciu zagrożenia oraz możliwością uruchomienia przywracania plików.
• Administrator: alert w Security Center oraz szczegóły w logach audytowych w Admin Console. Funkcja jest włączona domyślnie, ale można ją wyłączyć lub ograniczyć możliwość przywracania po stronie użytkowników.

Sednem rozwiązania jest wczesne rozpoznanie nieprawidłowości w zmianach plików — np. masowego szyfrowania lub uszkodzeń — i natychmiastowe zatrzymanie synchronizacji, zanim uszkodzone wersje nadpiszą te przechowywane w chmurze. Użytkownik otrzymuje alert na komputerze i e-mail, a administrator widzi zdarzenie w konsoli. Przywracanie realizuje się z poziomu interfejsu Drive w przeglądarce, wybierając zakres czasu i cofając wiele plików naraz. Dzięki temu skracasz czas odtworzenia, często bez konieczności re-imagingu stacji roboczej.

Jak to działa krok po kroku

1. Aplikacja Drive dla komputerów monitoruje nietypowe zmiany w plikach.
2. Przy podejrzeniu ataku wstrzymuje synchronizację, aby nie nadpisać zdrowych wersji w chmurze.
3. Użytkownik i administrator otrzymują powiadomienia.
4. Z poziomu Google Drive w przeglądarce można wybrać zakres czasu i przywrócić wiele plików hurtowo do wersji sprzed ataku.

Google podkreśla, że stojąca za tym mechanizmem analiza wykorzystuje wyspecjalizowany model AI trenowany na milionach próbek ransomware i stale adaptuje się do nowych wariantów, m.in. zasilając się wiedzą o zagrożeniach z VirusTotal. To nie zastępuje tradycyjnego antywirusa, ale znacząco ogranicza skutki udanego ataku na endpointach. Te szczegóły potwierdzają także niezależne publikacje branżowe.

Od strony administracyjnej ważne jest, że ustawienie przywracania plików jest domyślnie włączone i można je kontrolować z poziomu Admin Console. Google rekomenduje, by zaktualizować aplikację Drive dla komputerów do wersji 114 lub nowszej — na starszych wersjach synchronizacja zostanie wstrzymana, ale pełne alerty lokalne mogą być niedostępne. Rollout funkcji został opisany na blogu Workspace Updates, z harmonogramem dla domen Rapid i Scheduled Release.

W praktyce największą wartość firmy zobaczą w dwóch obszarach: ciągłości działania i prostocie operacyjnej. Po pierwsze, gdy dojdzie do incydentu, zasięg szkód nie rozlewa się na chmurę — to kluczowe w organizacjach intensywnie współdzielących zasoby. Po drugie, zespół IT wykonuje odtworzenie wprost z Drive, co upraszcza proces i skraca przestój. Warto też pamiętać, że natywne pliki Dokumentów Google są z natury mniej podatne na klasyczne szyfrowanie, dlatego najczęściej ucierpią pliki typu Office, PDF czy obrazy. Media branżowe zwracają uwagę na te same korzyści i ograniczenia: to istotna warstwa „containment + recovery”, ale nadal komplementarna wobec prewencji. WIRED

Najczęstsze pytania

Na jakich systemach działa wykrywanie i pauza synchronizacji?
Na Windows i macOS, w aplikacji Google Drive dla komputerów. Funkcja jest w becie i obejmuje wykrywanie, alerty i przywracanie.

Czy muszę coś włączać w Admin Console?
Domyślnie włączone. Możesz wyłączyć lub ograniczyć uprawnienia, jeśli polityka bezpieczeństwa tego wymaga. Google Help

Jaka wersja klienta jest wymagana?
Zalecana jest v114 lub nowsza — zapewnia pełne powiadomienia lokalne. Wstrzymanie synchronizacji zadziała także na starszych wersjach, ale bez pełnego UX. Workspace Updates Blog

Na jakich planach jest to dostępne i czy są dopłaty?
W otwartej becie funkcja trafia do większości planów komercyjnych bez dodatkowych kosztów. U konsumentów dostępne jest przywracanie plików. Google Workspace

Czy to zastępuje ochronę endpointów?
Nie. To dodatkowa warstwa ograniczająca skutki ataku i wspierająca szybkie recovery — sensownie uzupełnia EDR/AV, ale ich nie zastępuje.

Najlepsze praktyki wdrożeniowe od BOIT

• Standaryzacja wersji: wymuś Drive dla komputerów v114+ w całej flocie urządzeń. Workspace Updates Blog
• Segmentacja i UTM: dodaj warstwę prewencji na brzegu sieci, np. FortiGate z profilami AV, IPS i web filtering, aby ograniczać wektory infekcji.
• Monitoring bezpieczeństwa: koreluj alerty Admin Console z SIEM/SOC, np. Wazuh, aby szybciej potwierdzać incydenty i ich zasięg.
• Playbook IR: przygotuj procedurę na wypadek alertu z Drive – od odłączenia zainfekowanego hosta, przez przywrócenie plików, po post-incident review.
• Kopie zapasowe i wersjonowanie: integruj polityki backupu z wersjonowaniem w Drive, aby mieć dwa niezależne wektory odtworzenia.
• Polityki Admin Console: pozostaw domyślnie włączone wykrywanie i przywracanie, ograniczaj wyłączenia do wyjątków. Google Help

W BOIT pomagamy w pełnym wdrożeniu i konfiguracji Google Workspace, polityk bezpieczeństwa, integracji z UTM oraz w przygotowaniu playbooków IR. Skontaktuj się, jeśli chcesz przetestować funkcję w swojej organizacji.