Cylance Smart Antivirus ønsker å overlevere beskyttelse mot skadelig programvare til AI

(i) Sikker er en ukentlig spalte som dykker ned i det raskt eskalerende temaet cybersikkerhet.

Nok en dag, nok et malwareangrep. Uansett hvor mye penger som brukes til å øke cybersikkerheten, ser det ikke ut til at situasjonen blir bedre. Kan maskinlæring som tilpasser seg nye metoder være løsningen?

For noen selskaper går slike maskinlæringsteknikker hånd i hånd med mer tradisjonell signaturbasert deteksjon, og andre bruker atferdslæring for å passe på andre, uspesifiserte trusler. For trusselforebyggende selskapet Cylance er imidlertid maskinlæring alt det trenger for å tilby det det hevder er den mest effektive anti-malware-løsningen som er tilgjengelig i dag.

Som Googles Sundar Pinchai mester i fjor setter Cylance AI først i sin nye forbrukervendte antimalware-løsning. Men mer enn det, den legger kun AI i flaggskipets sikkerhetsprogramvare, som den hevder er mer enn nok til å kvele skadevaretruslene fra i går, i dag og i morgen.

Alt du trenger er kjærlighet … til AI

"Hvis du ser på det historisk, går all teknologien fra eldre leverandører virkelig tilbake til 1990-tallet som opererer under Forutsetningen er at noen må bli smittet for at resten skal bli beskyttet, sa Cylance senior VP, Christopher Bray, til Digital Trender. "Det fungerte veldig bra, og på 90- og begynnelsen av 2000-tallet, da du bare hadde en håndfull virus som ble utgitt hver måned, kunne du få en oppdatering til sluttbrukere [raskt]."

Men i dag, forklarte han, er ting ganske annerledes. Med henvisning til at det er mer enn 350 000 nye deler av skadelig programvare utgitt hver eneste dag, skjærer ikke slike signaturbaserte anti-malware-løsninger det, sa han.

Typene trusler som forbrukere, bedrifter og sikkerhetsselskapene som beskytter dem står overfor, er også forskjellige. Mens spam og adware fortsatt er utbredt, nye trusler som løsepengevare og kryptojacking har blitt vanlig. Med disse nye og stadig voksende angrepene, mener Cylance at maskinlæring og AI-drevet smart programvare er den eneste virkelige måten å bekjempe det.

"Vi har trent en algoritme. Vi har trent det med eksempler på god og prøver av dårlig programvare,» sa han. "Det smarte antivirusproduktet som ligger på en stasjonær Mac eller en PC og inspiserer hver fil som prøver kjør, og før den kan kjøre, vil du analysere den og si, hei, er dette bra eller er dette dårlig, og om det er dårlig. Det vil sette det i karantene."

Dette, hevder Bray, er alt du egentlig trenger. Men er det virkelig sant?

AI-konkurranse

Å stole utelukkende på maskinlæring er ikke en tilnærming andre anti-malware-selskaper tar, selv ikke de som inkorporerer AI i prosessen. Mens Bray kan ha en strålende mening om Cylances egen maskinlæring, bruker andre selskaper det også. Kaspersky, Malwarebytes, McAfee, og mange andre, alle bruker maskinlæring for å hjelpe med å oppdage skadelig programvare, de pleier bare å gjøre det sammen med mer tradisjonelle teknikker.

Så hva er så annerledes med Cylances løsning?

"Det vi ser fra industrien akkurat nå i forbrukerområdet, maskinlæring ser ut til å bli brukt for å prøve å identifisere [av] skadelig programvare og skrive rettelser for det," sa Bray. "Så, det er fortsatt den gamle modellen. Det er bare raskere. Med volumet til det meste av programvare der ute. Det spiller ingen rolle hvor rask du er om du får en signatur etter 15 minutter eller fem minutter, da disse truslene sprer seg i løpet av sekunder globalt. Vi ser ikke på [maskinlæringen deres] som en AI-løsning som vår."

Det ville være urettferdig å kategorisere en slik uttalelse som noe annet enn mening – en som vi er sikre på at andre antivirusselskaper vil bestride.

Vi har faktisk sett anti-ransomware-beskyttelse fra slike som Malwarebytes og Zone Alarm tilbyr lignende analytisk programvare som ser på prosesser når de begynner å kjøre, og hvis de oppdager ondsinnet oppførsel i applikasjonen deres, stopper dem i sporet og i noen tilfeller ruller tilbake eventuelle endringer de har gjort.

Videre, ifølge Malwarebytes, er det noen alvorlige problemer med å stole utelukkende på maskinlæring for trusseldeteksjon.

"Den dekker ikke ALLE typer skadelig programvare og trusler, og er mye mer utsatt for falske positiver," fortalte Pedro Bustamante, VP of Products & Research hos Malwarebytes. «[Vi] implementerer maskinlæring som et av deteksjonslagene i beskyttelsesstabelen. Det er ikke hovedlaget, men det er et viktig lag.»

Det er klart at Bustamante ikke tror at maskinlæring er det siste, fra et synspunkt på skadelig programvare. Han uttalte til og med at han ikke kunne forutse en tid da maskinlæring ville være alt som var nødvendig for anti-malware-programvare.

Likevel var Bray fast på at Cylances løsning er ganske annerledes. Det var ikke lett å finne detaljene i det som gjør det slik, men han forklarte AI videre ved å sier at den er trent på millioner av egenskaper som kan tyde på "god og dårlig oppførsel", som han sette det.

"[Algoritmen] analyserer i hovedsak enhver programvare som kjører på den enheten og før det programvare kan kjøre den bruker kraften til det å lære av treningen sin til å se på det og si: 'Ok, dette er flink. Jeg lar det gå eller ikke, dette er ille,» sa han.

Analyse over skanninger

Ett område hvor Cylances antivirale løsning er tydelig annerledes enn de fleste, er at den ikke tilbyr noen form for utbedringsskanningsfunksjon med programvaren. Skanninger har vært kjernen i de fleste antivirusprogramvare i flere tiår, men for Cylance er det mer beslektet med å lukke døren etter at hesten har låst seg.

I stedet fokuserer den utelukkende på live-beskyttelse, og sørger for at trusler blir oppdaget før de i det hele tatt begynner å ha innvirkning på et system. Fordelen med dette, forteller Bray, er at programvaren har et veldig lite fotavtrykk på systemet den er installert på og krever langt mindre ressurser å kjøre.

"Fordi [Cylance AV] ikke trenger å kjøre gjennom harddisken og kjøre alle disse skanningene, er ressurspåvirkningen betydelig lavere enn en eldre løsning," sa han. "Hvis du tenker på en eldre løsning, har den […] denne databasen med signaturfiler som den trenger å referanse hver gang den sjekker noe - bare i kraft av å gå frem og tilbake og sjekke signaturen filliste."

Ved å unngå det, hevder Bray, er Cylance Smart Antvirius langt mindre belastende for et system. I noen svært rudimentære tester av denne påstanden, fant vi ut at den var litt blandet.

Da ingen nye applikasjoner ble åpnet, fant vi ut at klienten var veldig lett og forbrukte ikke mer enn noen få megabyte RAM og nesten null prosent av vår (Intel Core i5-4690k) CPU. Men da vi åpnet nye applikasjoner, så vi betydelige topper i CPU-bruk, i ett tilfelle (når åpne Adobe Acrobat DC) det krevde så mye som 50 prosent av testsystemets CPU for noen få sekunder.

Til sammenligning krevde Malwarebytes Antimalware, som også kjørte på det samme systemet, nærmere 150 MB RAM mens den går på tomgang, men krevde vanligvis bare noen få prosent av prosessorens sykluser når du åpner ny applikasjoner.

Imidlertid fortsatte Malwarebytes å vise slike tall ved gjentatt åpning av de samme applikasjonene, mens Cylances løsning så ut til å lære at slike apper ikke var skadelige og krevde langt mindre ressurser ved gjentakelse lanserer.

Disse testene er langt fra avgjørende, men ser ut til å fremheve forskjellen mellom anti-malware løsninger når det gjelder ressurser som kreves for å spore potensielt farlige prosesser som kjører på en system.

Prediktiv politiarbeid under panseret

Uansett alt annet Cylances Smart Antivirus Den ene egenskapen Bray var mest stolt av var evnen til å oppdage «ukjente» trusler. Det vil si skadevare som ennå ikke er skrevet eller til og med effektivt kategorisert. Ved å stole sterkt på analyse av prosessatferd, hevder han at Cylances sikkerhetsprogramvare er i stand til å håndtere trusler som ingen noen gang har sett før.

"Med en AI-basert løsning, en applikasjon som kan identifisere egenskapene til skadelig programvare, spiller det ingen rolle om den er kjent eller ukjent," sa han. "Du kan si, hei, denne tingen er dårlig og ta avgjørelser på et brøkdel av et sekund."

Nye typer løsepenge-angrep er et område hvor han føler at programvaren er spesielt god til å bekjempe. Siterer VilCry ransomware-angrep fra midten av 2017, hevdet Bray at Cylance matet den skadelige programvaren til en kopi av algoritmen fra to år tidligere, og at den var i stand til å oppdage løsepengevaren og stoppe den i sporene, til tross for at den ble opprettet av noen tid.

Det samme gjelder nye ransomware-angrep, sa han, som stoppes før de i det hele tatt starter, og sluttbrukeren er ikke noe klokere.

Å operere sømløst utenfor forbrukernes synsfelt var noe han og Cylance virkelig tror på, og fjerner vekten av kunnskap og tilsyn fra forbrukeren.

"I løpet av årene har folk blitt vant til å [tenke] "Ok, jeg kjører sikkerhetsprogramvare, men jeg burde ikke ha dobbeltklikket på det, og det er derfor jeg er infisert," sa han. "Med løsningen vår er filosofien vår "hei, vet du hva, klikk på hva du enn føler for, vi har din rygg."

Selv om Cylances AI-drevne Smart Antivirus kanskje ikke er så revolusjonerende som markedsføringen kan tilsi, er det absolutt en slankere og mer fokusert tilnærming til cybersikkerhet. Hvis den kan forutsi og stoppe neste WannaCry, lar vi gjerne AI ta rattet.

Redaktørenes anbefalinger

• A.I. glemmer vanligvis ikke noe, men Facebooks nye system gjør det. Her er hvorfor
• Hvordan A.I. skapte den fantastiske sports-høydepunktet du ikke kan slutte å se
• Hvis A.I. erstatter ikke jobben din, kan det gjøre den mye mer behagelig