Cylance Smart Antivirus wil malwarebescherming overdragen aan AI

(onzeker is een wekelijkse column die ingaat op het snel escalerende onderwerp cybersecurity.

Een nieuwe dag, een nieuwe malware-aanval. Ongeacht hoeveel geld er wordt gestoken in het vergroten van de cyberveiligheid, de situatie lijkt niet te verbeteren. Zou machine learning, dat zich aanpast aan nieuwe methoden, de oplossing kunnen zijn?

Voor sommige bedrijven gaan dergelijke machine learning-technieken hand in hand met meer traditionele, op handtekeningen gebaseerde detectie, terwijl anderen gedragsmatig leren gebruiken om op te letten voor andere, niet-gespecificeerde bedreigingen. Voor bedreigingspreventiebedrijf Cylance is machinaal leren echter alles wat het nodig heeft om naar eigen zeggen de meest effectieve anti-malware-oplossing te bieden die momenteel beschikbaar is.

Zoals die van Google Sundar Pinchai was kampioen Vorig jaar zette Cylance AI op de eerste plaats in zijn nieuwe, op de consument gerichte antimalware-oplossing. Maar meer dan dat: het integreert AI-only in zijn vlaggenschip beveiligingssoftware, waarvan het beweert dat het meer dan voldoende is om de malwarebedreigingen van gisteren, vandaag en morgen.

Het enige wat je nodig hebt is liefde... voor AI

“Als je het historisch bekijkt, gaat alle technologie van oudere leveranciers terug tot de jaren negentig, toen het opereerde onder de Het uitgangspunt is dat iemand besmet moet raken om de rest te beschermen”, vertelde Cylance senior VP Christopher Bray aan Digital Trends. “Dat werkte heel goed en in de jaren negentig en het begin van de jaren 2000, toen er nog maar een handvol virussen elke maand vrijkwamen, kon je [snel] een update voor de eindgebruikers krijgen.”

Maar vandaag de dag, legde hij uit, zijn de zaken heel anders. Onder verwijzing naar het feit dat er elke dag meer dan 350.000 nieuwe malware-items worden uitgebracht, volstaan ​​dergelijke op handtekeningen gebaseerde anti-malware-oplossingen gewoon niet, zei hij.

Ook de soorten bedreigingen waarmee consumenten, bedrijven en de beveiligingsbedrijven die hen beschermen, worden geconfronteerd, zijn verschillend. Hoewel spam en adware nog steeds wijdverbreid zijn, zijn er nieuwe bedreigingen zoals ransomware en cryptojacking gemeengoed zijn geworden. Met deze nieuwe en steeds groeiende aanvallen is Cylance van mening dat machine learning en AI-gestuurde slimme software de enige echte manier zijn om deze te bestrijden.

“We hebben een algoritme getraind. We hebben het getraind met voorbeelden van goede en voorbeelden van slechte software”, zei hij. “Het slimme antivirusproduct dat zich op een desktop-Mac of pc bevindt en elk bestand inspecteert dat dat probeert uitvoeren en voordat het kan worden uitgevoerd, analyseer je het en zeg je: is dit goed of is dit slecht en of het slecht is. Het zal het in quarantaine plaatsen.’

Dit, beweert Bray, is alles wat je echt nodig hebt. Maar is dat echt waar?

AI-competitie

Alleen vertrouwen op machinaal leren is geen aanpak die andere anti-malwarebedrijven volgen, zelfs niet bedrijven die AI in het proces integreren. Hoewel Bray misschien een lovende mening heeft over Cylance’s eigen machine learning, gebruiken andere bedrijven het ook. Kaspersky, Malwarebytes, McAfee, en vele anderen, maken allemaal gebruik van machine learning om kwaadaardige software te helpen detecteren, maar doen dit meestal naast meer traditionele technieken.

Dus wat is er zo anders aan de oplossing van Cylance?

“Wat we nu in de consumentensector zien, is dat machinaal leren wordt toegepast op het identificeren van kwaadaardige software en het schrijven van oplossingen ervoor”, aldus Bray. “Het is dus nog steeds het oude model. Het is gewoon sneller. Met het volume van de meeste software die er is. Het maakt niet uit hoe snel je bent, of je nu binnen vijftien of vijf minuten een handtekening krijgt, aangezien deze bedreigingen zich binnen enkele seconden wereldwijd verspreiden. We beschouwen [hun machine learning] niet als een AI-oplossing zoals de onze.”

Het zou oneerlijk zijn om een ​​dergelijke verklaring te categoriseren als iets anders dan een mening – een verklaring waarvan we zeker weten dat andere antivirusbedrijven deze zouden betwisten.

We hebben inderdaad anti-ransomware-beveiligingen gezien van onder meer Malwarebytes en Zone Alarm biedt vergelijkbare analytische software dat kijkt naar processen zodra ze beginnen te draaien en als ze kwaadaardig gedrag in hun applicatie detecteren, stopt ze en draait in sommige gevallen alle wijzigingen terug die ze hebben aangebracht.

Bovendien zijn er volgens Malwarebytes enkele ernstige problemen als je uitsluitend op machine learning vertrouwt voor de detectie van bedreigingen.

“Het dekt niet ALLE soorten malware en bedreigingen, en is veel gevoeliger voor valse positieven”, vertelde Pedro Bustamante, de VP Products & Research bij Malwarebytes, ons. “[We] implementeren machine learning als een van de detectielagen in de beveiligingsstack. Het is niet de hoofdlaag, maar wel een belangrijke laag.”

Het is duidelijk dat Bustamante niet denkt dat machine learning het ultieme is vanuit het oogpunt van malwaredetectie. Hij verklaarde zelfs dat hij geen tijd kon voorzien waarin machinaal leren het enige zou zijn dat nodig was voor anti-malwaresoftware.

Toch was Bray ervan overtuigd dat de oplossing van Cylance heel anders is. Het was niet eenvoudig om hem op de hoogte te stellen van de details van wat dit zo maakt, maar hij legde de AI verder uit waarin staat dat het is getraind op miljoenen eigenschappen die ‘goed en slecht gedrag’ kunnen suggereren, zoals hij zet het.

“[Het algoritme] analyseert in wezen elk stukje software dat op dat apparaat en daarvoor draait software kan draaien, het gebruikt de kracht van het leren van zijn training om daarnaar te kijken en te zeggen: 'Oké, dit is Goed. Ik laat het lopen of niet, dit is slecht'', zei hij.

Analyse via scans

Eén gebied waar Cylance's antivirale oplossing is duidelijk anders dan de meeste, is dat het geen enkele vorm van herstelscanfunctie biedt met zijn software. Scans vormen al tientallen jaren de kern van de meeste antivirussoftware, maar voor Cylance lijkt dat meer op het sluiten van de deur nadat het paard is weggelopen.

In plaats daarvan richt het zich volledig op live-beveiliging en zorgt ervoor dat bedreigingen worden gedetecteerd voordat ze zelfs maar een impact op een systeem beginnen te hebben. Het voordeel hiervan, zo vertelt Bray, is dat de software een zeer kleine footprint heeft op het systeem waarop deze is geïnstalleerd en dat er veel minder bronnen nodig zijn om te kunnen draaien.

"Omdat [Cylance AV] niet door je harde schijf hoeft te bladeren en al deze scans uit te voeren, is de impact op de bronnen aanzienlijk lager dan bij een oudere oplossing", zei hij. “Als je nadenkt over een oudere oplossing, dan heeft deze […] een database met handtekeningbestanden die hij dan nodig heeft referentie elke keer dat het iets controleert - gewoon door heen en weer te gaan en de handtekening te controleren bestandslijst.”

Door dat te vermijden, beweert Bray, belast Cylance Smart Antvirius een systeem veel minder. Bij een zeer rudimentaire toetsing van deze bewering kwamen we erachter dat het een beetje een allegaartje was.

Toen er geen nieuwe applicaties werden geopend, ontdekten we dat de client erg licht was en niet meer dan een paar megabytes verbruikte RAM en bijna nul procent van onze (Intel Core i5-4690k) CPU. Bij het openen van nieuwe applicaties zagen we echter in één geval aanzienlijke pieken in het CPU-gebruik (wanneer bij het openen van Adobe Acrobat DC) had het voor een paar keer maar liefst 50 procent van de CPU van het testsysteem nodig seconden.

Ter vergelijking: Malwarebytes Antimalware, dat ook op datzelfde systeem draaide, had bijna 150 MB nodig van RAM tijdens inactiviteit, maar vereiste doorgaans slechts een paar procent van de CPU-cycli bij het openen van een nieuwe toepassingen.

Malwarebytes bleef echter dergelijke cijfers tonen bij het herhaaldelijk openen van dezelfde applicaties De oplossing van Cylance leek te leren dat dergelijke apps niet kwaadaardig waren en bij herhaling veel minder bronnen vereisten lanceert.

Deze tests zijn verre van overtuigend, maar lijken wel het verschil tussen anti-malware te benadrukken oplossingen als het gaat om de middelen die nodig zijn voor het volgen van potentieel gevaarlijke processen die op een computer draaien systeem.

Voorspellend politiewerk onder de motorkap

Ongeacht al het andere Cylance's slimme antivirusprogramma Het enige waar Bray het meest trots op was, was het vermogen om “onbekende” bedreigingen te detecteren. Dat wil zeggen malware die nog moet worden geschreven of zelfs effectief moet worden gecategoriseerd. Door sterk te vertrouwen op analyse van procesgedrag beweert hij dat de beveiligingssoftware van Cylance in staat is bedreigingen aan te pakken die niemand ooit eerder heeft gezien.

“Met een op AI gebaseerde oplossing, een applicatie die de kenmerken van kwaadaardige software kan identificeren, maakt het niet uit of deze bekend of onbekend is”, zegt hij. "Je kunt zeggen: hé, dit ding is slecht en in een fractie van een seconde beslissingen nemen."

Nieuwe soorten ransomware-aanvallen zijn volgens hem een ​​gebied waar de software bijzonder goed in is. Onder verwijzing naar de WilCry ransomware-aanval vanaf medio 2017Bray beweerde dat Cylance de kwaadaardige software aan een kopie van zijn algoritme van twee jaar geleden had doorgegeven dat het in staat was de ransomware te detecteren en tegen te houden, ondanks dat het door sommigen al vóór de creatie ervan bestond tijd.

Hetzelfde geldt voor nieuwe ransomware-aanvallen, zei hij, die worden gestopt voordat ze überhaupt zijn begonnen en de eindgebruiker is er niet wijzer van.

Naadloos opereren buiten het gezichtsveld van de consument was iets waar hij en Cylance echt in geloofden, waardoor de nadruk op kennis en toezicht bij de consument werd weggenomen.

“Door de jaren heen zijn mensen eraan gewend geraakt dat ze dachten: ‘Oké, ik gebruik beveiligingssoftware, maar ik had daar niet op moeten dubbelklikken en daarom ben ik geïnfecteerd’”, zei hij. "Met onze oplossing is onze filosofie: 'Hé, weet je wat, klik op waar je maar zin in hebt, wij staan ​​achter je.'"

Ook al is Cylance’s AI-gestuurde Smart Antivirus misschien niet zo revolutionair als de marketing doet vermoeden, het is zeker een slankere en meer gerichte benadering van cyberbeveiliging. Als het de volgende WannaCry kan voorspellen en stoppen, laten we AI graag het stuur overnemen.

Aanbevelingen van de redactie

• AI normaal gesproken niets vergeet, maar het nieuwe systeem van Facebook wel. Dit is waarom
• Hoe A.I. heeft die geweldige sporthoogtepunt-reel gemaakt waar je niet mee kunt stoppen met kijken
• Als A.I. vervangt uw baan niet, het kan het wel veel aangenamer maken