Cylance Smart Antivirus veut confier la protection contre les logiciels malveillants à l'IA

(précaire est une chronique hebdomadaire qui aborde le sujet en pleine actualité de la cybersécurité.

Un autre jour, une autre attaque de malware. Indépendamment des sommes investies dans le renforcement de la cybersécurité, la situation ne semble pas s’améliorer. L’apprentissage automatique qui s’adapte aux nouvelles méthodes pourrait-il être la solution ?

Pour certaines entreprises, ces techniques d’apprentissage automatique vont de pair avec une détection plus traditionnelle basée sur les signatures, tandis que d’autres ont recours à l’apprentissage comportemental pour se méfier d’autres menaces non spécifiées. Pour la société de prévention des menaces Cylance, cependant, l’apprentissage automatique est tout ce dont elle a besoin pour offrir ce qu’elle prétend être la solution anti-malware la plus efficace disponible aujourd’hui.

Comme celui de Google Sundar Pinchai défendu L'année dernière, Cylance a donné la priorité à l'IA dans sa nouvelle solution antimalware destinée aux consommateurs. Mais plus encore, il intègre uniquement l’IA dans son logiciel de sécurité phare, ce qui, selon lui, est plus que suffisant pour étouffer les menaces de logiciels malveillants de hier, aujourd'hui et demain.

Tout ce dont vous avez besoin, c'est de l'amour… de l'IA

« Si vous regardez la situation historiquement, toute la technologie des fournisseurs existants remonte en réalité aux années 1990 et fonctionne sous le label part du principe que quelqu'un doit être infecté pour que le reste soit protégé », a déclaré Christopher Bray, vice-président principal de Cylance, à Digital. Les tendances. "Cela a très bien fonctionné et dans les années 90 et au début des années 2000, alors qu'une poignée de virus étaient diffusés chaque mois, vous pouviez obtenir une mise à jour pour les utilisateurs finaux [rapidement]."

Mais aujourd’hui, explique-t-il, les choses sont bien différentes. Citant que plus de 350 000 nouveaux logiciels malveillants sont publiés chaque jour, de telles solutions anti-malware basées sur les signatures ne suffisent tout simplement pas, a-t-il déclaré.

Les types de menaces auxquels sont confrontés les consommateurs, les entreprises et les sociétés de sécurité qui les protègent sont également différents. Même si le spam et les logiciels publicitaires sont toujours répandus, de nouvelles menaces comme ransomware et cryptojacking sont devenus monnaie courante. Face à ces nouvelles attaques toujours croissantes, Cylance estime que l'apprentissage automatique et les logiciels intelligents basés sur l'IA sont le seul véritable moyen de les combattre.

« Nous avons formé un algorithme. Nous l’avons formé avec des échantillons de bons et de mauvais logiciels », a-t-il déclaré. "Le produit antivirus intelligent qui réside sur un ordinateur de bureau Mac ou un PC et inspecte chaque fichier qui tente de exécuter et avant de pouvoir s'exécuter, vous l'analyserez et direz: est-ce bon ou est-ce mauvais et si c'est mauvais. Il le mettra en quarantaine.

Selon Bray, c’est tout ce dont vous avez vraiment besoin. Mais est-ce vraiment vrai ?

Concours d'IA

S'appuyer uniquement sur l'apprentissage automatique n'est pas une approche adoptée par d'autres sociétés anti-malware, même celles qui intègrent l'IA dans le processus. Bien que Bray puisse avoir une opinion élogieuse du propre apprentissage automatique de Cylance, d’autres entreprises l’utilisent également. Kaspersky, Malwarebytes, McAfee, et bien d’autres, utilisent tous l’apprentissage automatique pour détecter les logiciels malveillants, mais ils ont simplement tendance à le faire en parallèle avec des techniques plus traditionnelles.

Alors, qu’y a-t-il de si différent dans la solution de Cylance ?

« Ce que nous constatons actuellement dans l'industrie dans l'espace grand public, l'apprentissage automatique semble être appliqué au tri [de] l'identification [des] logiciels malveillants et à l'écriture de correctifs pour ceux-ci », a déclaré Bray. « Donc, c’est toujours l’ancien modèle. C'est juste plus rapide. Avec le volume de la plupart des logiciels disponibles. Peu importe la rapidité avec laquelle vous obtenez une signature en 15 ou cinq minutes, car ces menaces se propagent en quelques secondes à l’échelle mondiale. Nous ne considérons pas [leur apprentissage automatique] comme une solution d’IA comme la nôtre. »

Il serait injuste de qualifier une telle déclaration d’autre chose que d’opinion – une opinion que nous sommes sûrs que d’autres éditeurs d’antivirus contesteraient.

En effet, nous avons vu des protections anti-ransomware telles que Malwarebytes et Zone Alarm propose un logiciel d'analyse similaire qui examine les processus au moment où ils commencent à s'exécuter et s'ils détectent un comportement malveillant dans leur application, les arrête net et, dans certains cas, annule toutes les modifications qu'ils ont apportées.

De plus, selon Malwarebytes, le fait de s’appuyer uniquement sur l’apprentissage automatique pour la détection des menaces pose de sérieux problèmes.

"Il ne couvre pas TOUS les types de logiciels malveillants et de menaces, et est beaucoup plus sujet aux faux positifs", nous a expliqué Pedro Bustamante, vice-président des produits et de la recherche chez Malwarebytes. « [Nous] implémentons l’apprentissage automatique comme l’une des couches de détection de sa pile de protection. Ce n’est pas la couche principale, mais c’est une couche importante.

De toute évidence, Bustamante ne pense pas que l’apprentissage automatique soit la solution ultime du point de vue de la détection des logiciels malveillants. Il a même déclaré qu’il ne pouvait pas prévoir un moment où l’apprentissage automatique suffirait aux logiciels anti-malware.

Pourtant, Bray a insisté sur le fait que la solution de Cylance est assez différente. Lui expliquer les détails de ce qui le rend ainsi n'a pas été facile, mais il a expliqué plus en détail l'IA en déclarant qu’il a été formé sur des millions d’attributs qui pourraient suggérer « un bon et un mauvais comportement », comme il le dit. Mets-le.

« [The algorithm] analyse essentiellement tout logiciel qui s'exécute sur cet appareil et avant cela le logiciel peut l'exécuter, il utilise la puissance de son apprentissage de sa formation pour examiner cela et dire: « D'accord, c'est bien. Je vais le laisser fonctionner ou non, c'est mauvais", a-t-il déclaré.

Analyse sur scans

Un domaine où La solution antivirale de Cylance est nettement différent de la plupart des autres, c'est qu'il n'offre aucune sorte de fonction d'analyse de correction avec son logiciel. Les analyses sont au cœur de la plupart des logiciels antivirus depuis des décennies, mais pour Cylance, cela revient plutôt à fermer la porte après que le cheval se soit enfui.

Au lieu de cela, il se concentre entièrement sur la protection en direct, garantissant que les menaces sont détectées avant même qu'elles ne commencent à avoir un impact sur un système. L’avantage, nous dit Bray, est que son logiciel a une très faible empreinte sur le système sur lequel il est installé et nécessite beaucoup moins de ressources pour fonctionner.

« Étant donné que [Cylance AV] n'a pas besoin de parcourir votre disque dur et d'exécuter toutes ces analyses, l'impact sur les ressources est nettement inférieur à celui d'une solution existante », a-t-il déclaré. « Si vous pensez à une solution existante, elle […] dispose de cette base de données de fichiers de signatures dont elle a ensuite besoin pour référence à chaque fois qu'il vérifie quelque chose - simplement en faisant des allers-retours et en vérifiant la signature liste de fichiers.

En évitant cela, affirme Bray, Cylance Smart Antvirius est beaucoup moins pénible pour un système. Lors de tests très rudimentaires de cette affirmation, nous avons constaté qu’elle était un peu mitigée.

Lorsqu'aucune nouvelle application n'était ouverte, nous avons constaté que le client était très léger, ne consommant pas plus de quelques mégaoctets de données. RAM et presque zéro pour cent de notre processeur (Intel Core i5-4690k). Cependant, lors de l'ouverture de nouvelles applications, nous avons constaté des pics importants d'utilisation du processeur, dans un cas (lorsque lors de l'ouverture d'Adobe Acrobat DC), cela nécessitait jusqu'à 50 % du processeur du système de test pendant quelques secondes.

En comparaison, Malwarebytes Antimalware, qui fonctionnait également sur le même système, nécessitait près de 150 Mo. de RAM au ralenti, mais ne nécessitait généralement que quelques pour cent des cycles du processeur lors de l'ouverture d'un nouveau applications.

Cependant, Malwarebytes a continué à afficher de tels chiffres lors de l'ouverture répétée des mêmes applications, tandis que La solution de Cylance semble avoir appris que ces applications n'étaient pas malveillantes et nécessitaient beaucoup moins de ressources à plusieurs reprises. lance.

Ces tests sont loin d'être concluants, mais semblent mettre en évidence la différence entre les anti-malwares et les logiciels malveillants. solutions en matière de ressources nécessaires au suivi des processus potentiellement dangereux exécutés sur un système.

La police prédictive sous le capot

Indépendamment de tout le reste L'antivirus intelligent de Cylance La seule fonctionnalité dont Bray était le plus fier était sa capacité à détecter les menaces « inconnues ». C’est-à-dire des logiciels malveillants qui n’ont pas encore été écrits ni même catégorisés efficacement. En s’appuyant fortement sur l’analyse du comportement des processus, il affirme que le logiciel de sécurité de Cylance est capable de gérer des menaces que personne n’a jamais vues auparavant.

« Avec une solution basée sur l’IA, une application capable d’identifier les caractéristiques d’un logiciel malveillant, peu importe qu’il soit connu ou inconnu », a-t-il déclaré. "Vous pouvez dire, hé, cette chose est mauvaise et prendre des décisions en une fraction de seconde."

Les nouveaux types d’attaques de ransomwares sont un domaine dans lequel il estime que le logiciel est particulièrement efficace pour lutter contre. Citant le VeutCAttaque de ransomware ry de mi-2017, Bray a affirmé que Cylance avait transmis le logiciel malveillant à une copie de son algorithme datant de deux ans auparavant, et qu'il a été capable de détecter le ransomware et de l'arrêter dans son élan, bien qu'il soit antérieur à sa création par certains temps.

Cela s’applique également aux nouvelles attaques de ransomwares, a-t-il déclaré, qui sont arrêtées avant même de commencer et l’utilisateur final n’en est pas conscient.

Cylance et lui croient sincèrement qu'opérer de manière transparente hors de la vue des consommateurs était une chose en laquelle il croyait vraiment, en éliminant l'accent mis sur la connaissance et la surveillance du consommateur.

"Au fil des années, les gens se sont habitués à [penser] 'D'accord, j'utilise un logiciel de sécurité, mais je n'aurais pas dû double-cliquer dessus et c'est pourquoi je suis infecté'", a-t-il déclaré. « Avec notre solution, notre philosophie est la suivante: « Hé, tu sais quoi, va cliquer sur ce que tu veux, nous sommes à tes côtés. »

Même si l’antivirus intelligent piloté par l’IA de Cylance n’est peut-être pas aussi révolutionnaire que son marketing pourrait le suggérer, il s’agit certainement d’une approche plus simple et plus ciblée de la cybersécurité. S’il peut prédire et arrêter le prochain WannaCry, nous laisserons volontiers l’IA prendre le volant.

Recommandations des rédacteurs

• I.A. n’oublie généralement rien, contrairement au nouveau système de Facebook. Voici pourquoi
• Comment l'IA créé cette incroyable bobine de faits saillants sportifs que vous ne pouvez pas arrêter de regarder
• Si l’A.I. ne remplace pas votre travail, cela peut le rendre beaucoup plus agréable