Cylance Smart Antivirus רוצה להעביר את הגנת תוכנות זדוניות לידי AI

(ב) מאובטח הוא טור שבועי שצולל לנושא ההסלמה במהירות של אבטחת סייבר.

עוד יום, עוד מתקפת תוכנות זדוניות. לא משנה כמה כסף מושקע להגברת אבטחת הסייבר, נראה שהמצב לא משתפר. האם למידת מכונה שמסתגלת לשיטות חדשות יכולה להיות הפתרון?

עבור חברות מסוימות, טכניקות למידת מכונה כאלה הולכות יד ביד עם זיהוי מסורתי יותר מבוסס חתימות ואחרות משתמשות בלמידה התנהגותית כדי להיזהר מאיומים אחרים, לא מוגדרים. עם זאת, עבור חברת Cylance למניעת איומים, למידת מכונה היא כל מה שהיא צריכה להציע מה שלטענתה הוא הפתרון היעיל ביותר נגד תוכנות זדוניות הקיים כיום.

כמו של גוגל סונדאר פנחאי אלוף בשנה שעברה, Cylance שמה את הבינה המלאכותית במקום הראשון בפתרון האנטי-זדוני החדש שלה הפונה לצרכן. אבל יותר מזה, היא מכניסה AI בלבד בתוכנת האבטחה המובילה שלה, שלטענתה היא די והותר כדי לחנוק את איומי התוכנה הזדונית של אתמול, היום ומחר.

כל מה שאתה צריך זה אהבה... לבינה מלאכותית

"אם מסתכלים על זה היסטורית, כל הטכנולוגיה של ספקים עתיקים באמת חוזרת לשנות ה-90 שפועלת תחת הנחה שמישהו צריך להידבק כדי שהשאר יהיו מוגנים", אמר סמנכ"ל בכיר Cylance, כריסטופר בריי, לדיגיטל. טרנדים. "זה עבד טוב מאוד ובשנות ה-90 ותחילת שנות ה-2000, כשהיה לך רק קומץ וירוסים ששוחררו מדי חודש, יכולת לקבל עדכון למשתמשי הקצה [מהר]."

אבל היום, הוא הסביר, הדברים שונים לגמרי. עם ציטוט שיש יותר מ-350,000 חלקים חדשים של תוכנות זדוניות שמתפרסמות מדי יום, פתרונות נגד תוכנות זדוניות מבוססות חתימה כאלה פשוט לא חותכים את זה, אמר.

גם סוגי האיומים העומדים בפני צרכנים, עסקים וחברות האבטחה המגנות על כולם שונים. בעוד שספאם ותוכנות פרסום עדיין נפוצות, איומים חדשים כמו תוכנות כופר ו-cryptojacking הפכו לדבר שבשגרה. עם ההתקפות החדשות והצומחות הללו, Cylance מאמינה שלמידת מכונה ותוכנה חכמה מונעת בינה מלאכותית היא הדרך האמיתית היחידה להילחם בה.

"אימנו אלגוריתם. אימנו את זה עם דוגמאות של תוכנות טובות ודוגמאות של תוכנות גרועות", אמר. "מוצר האנטי וירוס החכם שנמצא על מחשב Mac או PC שולחני ובודק כל קובץ שמנסה לעשות זאת לבצע ולפני שהוא יכול לרוץ תנתח את זה ותגיד, היי, האם זה טוב או זה רע ואם זה רע. זה יסגר את זה."

זה, טוען בריי, הוא כל מה שאתה באמת צריך. אבל האם זה באמת נכון?

תחרות AI

הסתמכות על למידת מכונה בלבד אינה גישה שחברות אחרות נגד תוכנות זדוניות נוקטות, אפילו כאלה שמשלבות AI בתהליך. בעוד שלבריי אולי יש דעה זוהרת על למידת המכונה של Cylance, חברות אחרות משתמשות בה גם כן. קספרסקי, Malwarebytes, מקאפיורבים אחרים, כולם משתמשים בלמידת מכונה כדי לסייע באיתור תוכנות זדוניות, הם פשוט נוטים לעשות זאת לצד טכניקות מסורתיות יותר.

אז מה כל כך שונה בפתרון של Cylance?

"מה שאנחנו רואים מהתעשייה כרגע במרחב הצרכני, נראה שלמידת מכונה מיושמת על ניסוי [זיהוי] [של] תוכנות זדוניות וכתיבת תיקונים עבורה", אמר בריי. "אז, זה עדיין הדגם הישן. זה פשוט יותר מהיר. עם הנפח של רוב התוכנות שיש. זה לא משנה כמה מהיר אתה אם אתה מקבל חתימה עד 15 דקות או חמש דקות מכיוון שהאיומים הללו מתפשטים תוך שניות ברחבי העולם. אנחנו לא רואים את [למידת המכונה שלהם] כפתרון AI כמו שלנו."

זה יהיה לא הוגן לסווג הצהרה כזו כדבר אחר מלבד דעה - כזו שאנחנו בטוחים שחברות אנטי-וירוס אחרות יתחרו בה.

ואכן ראינו הגנות נגד תוכנות כופר ממכשירים כמו Malwarebytes ו Zone Alarm מציעים תוכנה אנליטית דומה שמסתכל על תהליכים כשהם מתחילים לרוץ ואם הם מזהים התנהגות זדונית באפליקציה שלהם, עוצר אותם על עקבותיהם ובמקרים מסוימים מחזיר כל שינוי שהם ביצעו.

יתר על כן, לפי Malwarebytes, יש כמה בעיות רציניות בהסתמכות על למידת מכונה לזיהוי איומים בלבד.

"זה לא מכסה את כל סוגי התוכנות הזדוניות והאיומים, והוא נוטה הרבה יותר לתוצאות שגויות", אמר לנו פדרו בוסטמנטה, סמנכ"ל המוצרים והמחקר ב-Malwarebytes. "[אנחנו] מיישמים למידת מכונה כאחת משכבות הזיהוי בערימת ההגנה שלה. זה לא הרובד העיקרי, אבל זה רובד חשוב".

ברור ש-Bustamante לא חושב שלמידת מכונה היא הסוף מנקודת מבט של זיהוי תוכנות זדוניות. הוא אפילו הצהיר שהוא לא יכול לחזות זמן שבו למידת מכונה תהיה כל מה שנדרש לתוכנה נגד תוכנות זדוניות.

ובכל זאת, ברי היה נחוש בדעתו שהפתרון של Cylance שונה לגמרי. לא היה קל להבין את הפרטים של מה שעושה את זה כך, אבל הוא הסביר את הבינה המלאכותית עוד יותר על ידי הצהיר שהוא אומן על מיליוני תכונות שיכולות להצביע על "התנהגות טובה ורעה", כפי שהוא לשים את זה.

"[האלגוריתם] למעשה מנתח כל פיסת תוכנה שפועלת על המכשיר הזה ולפני כן תוכנה יכולה להריץ את זה משתמש בכוח של למידה של ההכשרה שלו כדי להסתכל על זה ולהגיד, 'אוקיי, זה טוֹב. אני אתן לזה לרוץ או לא, זה גרוע'", אמר.

ניתוח על פני סריקות

אזור אחד שבו הפתרון האנטי ויראלי של Cylance שונה באופן מובהק מרובם, הוא שהוא אינו מציע שום סוג של פונקציית סריקה מתקנת עם התוכנה שלו. סריקות היו בלב רוב תוכנות האנטי-וירוס כבר עשרות שנים, אבל לסיילנס, זה דומה יותר לסגירת הדלת לאחר שהסוס נברח.

במקום זאת, הוא מתמקד לחלוטין בהגנה חיה, ומוודא שאיומים מזוהים עוד לפני שהם מתחילים להשפיע על מערכת. היתרון של זה, אומר לנו בריי, הוא שלתוכנה שלה יש טביעת רגל קטנה מאוד על המערכת שהיא מותקנת עליה ודורשת הרבה פחות משאבים להפעלה.

"מכיוון ש-[Cylance AV] לא צריך לעבור בכונן הקשיח שלך ולהפעיל את כל הסריקות הללו, השפעת המשאבים נמוכה משמעותית מפתרון מדור קודם", אמר. "אם אתה חושב על פתרון מדור קודם, יש לו את מסד הנתונים הזה של קבצי חתימה שהוא צריך אז התייחסות בכל פעם שהוא בודק משהו - רק מתוקף ההליכה הלוך ושוב ובדיקת החתימה רשימת קבצים."

בהימנעות מכך, טוען Bray, Cylance Smart Antvirius מטילה הרבה פחות מס על מערכת. בכמה בדיקות בסיסיות מאוד של טענה זו, מצאנו שהיא קצת מעורבת.

כשלא נפתחו יישומים חדשים, מצאנו שהלקוח קל משקל מאוד, וצורך לא יותר מכמה מגה-בייט של RAM וכמעט אפס אחוז מהמעבד שלנו (Intel Core i5-4690k). עם זאת, עם פתיחת יישומים חדשים, ראינו עליות משמעותיות בשימוש במעבד, במקרה אחד (מתי פתיחת Adobe Acrobat DC) זה דרש עד 50 אחוז מהמעבד של מערכת הבדיקה עבור כמה שניות.

לשם השוואה, Malwarebytes Antimalware, שפעל גם הוא באותה מערכת, דרש קרוב ל-150MB של זיכרון RAM בזמן סרק, אך בדרך כלל נדרש רק כמה אחוזים מהמחזורים של המעבד בעת פתיחת חדש יישומים.

עם זאת, Malwarebytes המשיך להציג מספרים כאלה עם פתיחה חוזרת של אותם יישומים, בעוד נראה שהפתרון של Cylance למד שאפליקציות כאלה אינן זדוניות ודורשות הרבה פחות משאבים בחזרה השקות.

בדיקות אלו רחוקות מלהיות חד משמעיות, אך נראה כי הן מדגישות את ההבדל בין אנטי-תוכנות זדוניות פתרונות בכל הנוגע למשאבים הנדרשים למעקב אחר תהליכים שעלולים להיות מסוכנים הפועלים ב-a מערכת.

שיטור חזוי מתחת למכסה המנוע

בלי קשר לכל השאר האנטי וירוס החכם של Cylance כן, התכונה היחידה בה היה גאה בריי הייתה היכולת שלו לזהות איומים "לא ידועים". כלומר, תוכנות זדוניות שטרם נכתבו או אפילו סווגו ביעילות. בהסתמכות רבה על ניתוח התנהגות התהליך, הוא טוען שתוכנת האבטחה של Cylance מסוגלת להתמודד עם איומים שאיש לא ראה מעולם.

"עם פתרון מבוסס AI, אפליקציה שיכולה לזהות את המאפיין של תוכנה זדונית, זה לא משנה אם זה ידוע או לא ידוע", אמר. "אתה יכול לומר, היי, הדבר הזה גרוע ולקבל החלטות בשבריר שנייה."

סוגים חדשים של התקפות כופר הם תחום אחד שבו הוא מרגיש שהתוכנה טובה במיוחד במאבק. מצטט את רוצהגמתקפת תוכנת כופר ry מאמצע 2017, ברי טען שסיילנס הזינה את התוכנה הזדונית לעותק של האלגוריתם שלה משנתיים קודם לכן, וכן שהיא הצליחה לזהות את תוכנת הכופר ולעצור אותה על עקבותיה, למרות שהקדימה את יצירתה על ידי כמה זְמַן.

זה חל על מתקפות כופר חדשות, הוא אמר, שנעצרות עוד לפני שהן מתחילות ומשתמש הקצה אינו חכם יותר.

לפעול בצורה חלקה מחוץ לקו הראייה של הצרכנים היה משהו שהוא וסילאנס באמת מאמינים בו, תוך הסרת הדגש של ידע ופיקוח מהצרכן.

"במהלך השנים, אנשים התרגלו [לחשוב] 'אוקיי, אני מפעיל תוכנת אבטחה אבל לא הייתי צריך ללחוץ על זה פעמיים וזו הסיבה שאני נדבק'", אמר. "עם הפתרון שלנו, הפילוסופיה שלנו היא 'היי, אתה יודע מה, לך תלחץ על מה שמתחשק לך, יש לנו את הגב שלך'".

גם אם האנטי-וירוס החכם המונחה בינה מלאכותית של Cylance הוא אולי לא מהפכני כפי שהשיווק שלו עשוי להציע, אין ספק שזוהי גישה רזה וממוקדת יותר לאבטחת סייבר. אם הוא יכול לחזות ולעצור את WannaCry הבא, אנחנו בשמחה ניתן לבינה מלאכותית לקחת את ההגה.

המלצות עורכים

• א.י. בדרך כלל לא שוכח כלום, אבל המערכת החדשה של פייסבוק כן. הנה למה
• איך א.י. יצר את סליל הדגש הספורט המדהים שאי אפשר להפסיק לצפות בו
• אם א.י. לא מחליף את העבודה שלך, זה עשוי להפוך אותה להרבה יותר נעימה