Cylance Smart Antivirus иска да прехвърли защитата от зловреден софтуер на AI

(в) Сигурно е седмична колона, която се гмурка в бързо ескалиращата тема за киберсигурността.

Още един ден, още една атака на зловреден софтуер. Независимо колко пари се влагат в увеличаване на киберсигурността, ситуацията не изглежда да се подобрява. Може ли машинното обучение, което се адаптира към нови методи, да бъде решението?

За някои компании такива техники за машинно обучение вървят ръка за ръка с по-традиционното откриване, базирано на сигнатури, а други използват поведенческо обучение, за да внимават за други, неопределени заплахи. За компанията за предотвратяване на заплахи Cylance обаче машинното обучение е всичко, от което се нуждае, за да предложи това, което твърди, че е най-ефективното решение срещу зловреден софтуер, налично днес.

Като този на Google Сундар Пинчай спечели миналата година Cylance поставя AI на първо място в новото си решение против злонамерен софтуер, насочено към потребителите. Но повече от това, той поставя само AI във водещия си софтуер за сигурност, за който твърди, че е повече от достатъчен, за да задуши заплахите от злонамерен софтуер вчера, днес и утре.

Всичко, от което се нуждаете, е любов… към AI

„Ако го погледнете исторически, цялата технология от наследени доставчици наистина се връща към 90-те години на миналия век, която работи под предпоставката, че някой трябва да се зарази, за да бъдат защитени останалите“, каза Кристофър Брей, старши вицепрезидент на Cylance, пред Digital Тенденции. „Това работеше много добре и през 90-те и началото на 2000-те години, когато имаше само няколко вируса, които се пускаха всеки месец, можеше да получиш актуализация до крайните потребители [бързо].“

Днес обаче, обясни той, нещата са съвсем различни. Позовавайки се на факта, че има повече от 350 000 нови злонамерени софтуера, които се пускат всеки ден, подобни базирани на сигнатури анти-злонамерен софтуер решения просто не се справят, каза той.

Видовете заплахи, пред които са изправени потребителите, фирмите и компаниите за сигурност, които ги защитават, също са различни. Въпреки че спамът и рекламният софтуер са все още преобладаващи, нови заплахи като рансъмуер и криптоджакинг са станали нещо обичайно. С тези нови и все по-разрастващи се атаки Cylance вярва, че машинното обучение и интелигентният софтуер, управляван от AI, е единственият реален начин за борба с него.

„Обучили сме алгоритъм. Ние го обучихме с проби от добър и проби от лош софтуер“, каза той. „Интелигентният антивирусен продукт, който се намира на настолен Mac или PC и проверява всеки файл, който се опитва да го направи изпълни и преди да може да стартира, ще го анализираш и ще кажеш, хей, това добре ли е или това е лошо и дали е лошо. Ще го постави под карантина.“

Това, твърди Брей, е всичко, от което наистина се нуждаете. Но наистина ли е така?

AI състезание

Разчитането единствено на машинно обучение не е подход, който други анти-зловреден софтуер предприемат компании, дори и такива, които включват AI в процеса. Въпреки че Брей може да има блестящо мнение за собственото машинно обучение на Cylance, други компании също го използват. Kaspersky, Malwarebytes, McAfee, и много други, всички използват машинно обучение, за да помогнат за откриването на зловреден софтуер, те просто са склонни да го правят заедно с по-традиционни техники.

И така, какво е толкова различното в решението на Cylance?

„Това, което виждаме от индустрията в момента в потребителското пространство, машинното обучение изглежда се прилага за сортиране [на] идентифициране [на] зловреден софтуер и писане на корекции за него“, каза Брей. „Така че все още е старият модел. Просто е по-бързо. С обема на повечето софтуер на пазара. Няма значение колко сте бързи, ако получите подпис за 15 минути или пет минути, тъй като тези заплахи се разпространяват в рамките на секунди в световен мащаб. Ние не гледаме на [тяхното машинно обучение] като на AI решение като нашето.“

Би било несправедливо да категоризираме подобно изявление като нещо различно от мнение – такова, което сме сигурни, че други антивирусни компании биха оспорили.

Наистина сме виждали защити срещу ransomware от подобни на Malwarebytes и Zone Alarm предлага подобен аналитичен софтуер който разглежда процесите, когато започнат да се изпълняват, и ако открият злонамерено поведение в тяхното приложение, ги спира на пътя им и в някои случаи връща всички промени, които са направили.

Освен това, според Malwarebytes, има някои сериозни проблеми с разчитането единствено на машинно обучение за откриване на заплахи.

„Той не покрива ВСИЧКИ видове злонамерен софтуер и заплахи и е много по-податлив на фалшиви положителни резултати“, ни каза Педро Бустаманте, вицепрезидент по продукти и изследвания в Malwarebytes. „[Ние] прилагаме машинно обучение като един от слоевете за откриване в неговия стек за защита. Това не е основният слой, но е важен слой.

Ясно е, че Бустаманте не смята, че машинното обучение е крайната цел от гледна точка на откриването на зловреден софтуер. Той дори заяви, че не може да предвиди време, когато машинното обучение ще бъде всичко, което е необходимо за софтуера срещу зловреден софтуер.

Все пак Брей беше категоричен, че решението на Cylance е съвсем различно. Не беше лесно да го разберем какво го прави такъв, но той обясни ИИ допълнително с заявявайки, че е обучен на милиони атрибути, които биха могли да предложат „добро и лошо поведение“, както той сложи го.

„[Алгоритъмът] по същество анализира всеки софтуер, който работи на това устройство и преди това софтуерът може да го изпълнява, използва силата на обучението си, за да погледне това и да каже: „Добре, това е добре. Ще го оставя да работи или не, това е лошо", каза той.

Анализ върху сканиране

Една област, където Антивирусното решение на Cylance е значително различен от повечето, е че не предлага никаква функция за сканиране за коригиране със своя софтуер. Сканирането е в основата на повечето антивирусни програми от десетилетия, но за Cylance това е по-скоро като затваряне на вратата, след като конят е изскочил.

Вместо това, той се фокусира изцяло върху защитата на живо, като гарантира, че заплахите са открити, преди дори да започнат да оказват влияние върху системата. Положителната страна на това, казва ни Брей, е, че неговият софтуер има много малък отпечатък върху системата, на която е инсталиран, и изисква много по-малко ресурси за работа.

„Тъй като [Cylance AV] не е необходимо да преработва твърдия ви диск и да изпълнява всички тези сканирания, въздействието върху ресурсите е значително по-ниско от наследеното решение“, каза той. „Ако мислите за наследено решение, то […] има тази база данни от файлове със подписи, които след това трябва да препратка всеки път, когато проверява нещо - просто по силата на връщане напред-назад и проверка на подписа списък с файлове."

Избягвайки това, твърди Брей, Cylance Smart Antvirius е много по-малко натоварващо системата. При някои много елементарни тестове на това твърдение открихме, че е малко смесено.

Когато не бяха отваряни нови приложения, открихме, че клиентът е много лек, консумирайки не повече от няколко мегабайта RAM и почти нула процента от нашия (Intel Core i5-4690k) процесор. Въпреки това, при отваряне на нови приложения, видяхме значителни пикове в използването на процесора в един случай (когато отваряне на Adobe Acrobat DC) изискваше до 50 процента от процесора на тестовата система за няколко секунди.

За сравнение Malwarebytes Antimalware, който също работеше на същата система, изискваше близо 150MB RAM, докато не работи, но обикновено изисква само няколко процента от циклите на процесора при отваряне на нов приложения.

Въпреки това Malwarebytes продължи да показва такива числа при повторно отваряне на същите приложения, докато Решението на Cylance изглежда научи, че такива приложения не са злонамерени и изискват много по-малко ресурси при повторение стартира.

Тези тестове далеч не са убедителни, но изглежда подчертават разликата между анти-зловреден софтуер решения, когато става въпрос за ресурси, необходими за проследяване на потенциално опасни процеси, изпълнявани на a система.

Предсказуема полиция под капака

Независимо от всичко останало Интелигентната антивирусна програма на Cylance прави, единствената характеристика, с която Брей най-много се гордееше, беше способността му да открива „неизвестни“ заплахи. Тоест злонамерен софтуер, който все още не е написан или дори ефективно категоризиран. Разчитайки в голяма степен на анализ на поведението на процеса, той твърди, че софтуерът за сигурност на Cylance е в състояние да се справи със заплахи, които никой не е виждал досега.

„С решение, базирано на AI, приложение, което може да идентифицира характеристиките на злонамерен софтуер, няма значение дали е известен или непознат“, каза той. „Можете да кажете, хей, това нещо е лошо и да вземете решения за части от секундата.“

Новите видове рансъмуер атаки са една област, в която той смята, че софтуерът е особено добър в борбата. Позовавайки се на Искам° Сry ransomware атака от средата на 2017 г, Брей твърди, че Cylance е захранил злонамерения софтуер към копие на своя алгоритъм от преди две години и че е успял да открие рансъмуера и да го спре, въпреки че е бил създаден преди някои време.

Същото важи и за новите атаки на ransomware, каза той, които се спират, преди дори да започнат, и крайният потребител не е по-мъдър.

Работейки безпроблемно извън полезрението на потребителите беше нещо, в което той и Cylance наистина вярват, премахвайки акцента върху знанието и надзора от потребителя.

„През годините хората свикнаха [да си мислят] „Добре, използвам софтуер за сигурност, но не трябваше да щраквам два пъти върху него и затова съм заразен“, каза той. „С нашето решение нашата философия е „хей, знаете ли какво, щракнете върху каквото искате, ние ви пазим гърба.“

Дори управляваната от AI Smart Antivirus на Cylance да не е толкова революционна, колкото предполага маркетингът й, тя със сигурност е по-икономичен и по-фокусиран подход към киберсигурността. Ако може да предвиди и спре следващия WannaCry, ние с радост ще оставим AI да поеме волана.

Препоръки на редакторите

• ИИ обикновено не забравя нищо, но новата система на Facebook го прави. Ето защо
• Как A.I. създаде онзи невероятен спортен филм, който не можете да спрете да гледате
• Ако A.I. не замества работата ви, може да я направи много по-приятна