Cylance Smart Antivirus quer entregar proteção contra malware para IA

(em) Seguro é uma coluna semanal que se aprofunda no tópico em rápida escalada da segurança cibernética.

Outro dia, outro ataque de malware. Independentemente de quanto dinheiro é investido no aumento da segurança cibernética, a situação não parece melhorar. O aprendizado de máquina que se adapta a novos métodos poderia ser a solução?

Para algumas empresas, essas técnicas de aprendizado de máquina andam de mãos dadas com a detecção mais tradicional baseada em assinaturas e outras empregam aprendizado comportamental para ficar atentos a outras ameaças não especificadas. Para a empresa de prevenção de ameaças Cylance, no entanto, o aprendizado de máquina é tudo o que ela precisa para oferecer o que afirma ser a solução antimalware mais eficaz disponível atualmente.

Como o do Google Sundar Pinchai defendeu no ano passado, a Cylance colocou a IA em primeiro lugar em sua nova solução antimalware voltada para o consumidor. Mas, mais do que isso, está colocando apenas IA em seu principal software de segurança, que afirma ser mais do que suficiente para reprimir as ameaças de malware de ontem, hoje e amanhã.

Tudo que você precisa é amor… de IA

“Se você olhar historicamente, toda a tecnologia dos fornecedores legados realmente remonta à década de 1990, que opera sob o premissa de que alguém precisa ser infectado para que o resto esteja protegido”, disse o vice-presidente sênior da Cylance, Christopher Bray, ao Digital Tendências. “Isso funcionou muito bem e nos anos 90 e início dos anos 2000, quando apenas alguns vírus eram lançados todos os meses, era possível obter uma atualização para os usuários finais [rapidamente].”

Hoje, porém, explicou ele, as coisas são bem diferentes. Citando que há mais de 350.000 novos malwares lançados todos os dias, essas soluções antimalware baseadas em assinaturas simplesmente não funcionam, disse ele.

Os tipos de ameaças que os consumidores, as empresas e as empresas de segurança que os protegem também enfrentam são diferentes. Embora o spam e o adware ainda sejam predominantes, novas ameaças como ransomware e criptojacking tornaram-se comuns. Com esses ataques novos e cada vez maiores, a Cylance acredita que o aprendizado de máquina e o software inteligente baseado em IA são a única maneira real de combatê-los.

“Treinamos um algoritmo. Nós o treinamos com amostras de software bom e de software ruim”, disse ele. “O produto antivírus inteligente que reside em um Mac de mesa ou PC e inspeciona todos os arquivos que tentam execute e antes que ele possa ser executado você irá analisá-lo e dizer, ei, isso é bom ou ruim e se é ruim. Vai colocá-lo em quarentena.

Isso, afirma Bray, é tudo que você realmente precisa. Mas isso é realmente verdadeiro?

Competição de IA

Depender apenas do aprendizado de máquina não é uma abordagem que outras empresas antimalware estejam adotando, mesmo aquelas que incorporam IA no processo. Embora Bray possa ter uma opinião brilhante sobre o aprendizado de máquina da Cylance, outras empresas também o utilizam. Kaspersky, Malwarebytes, McAfee, e muitos outros, utilizam aprendizado de máquina para ajudar a detectar software malicioso, mas tendem a fazer isso junto com técnicas mais tradicionais.

Então, o que há de tão diferente na solução da Cylance?

“O que estamos vendo da indústria agora no espaço do consumidor, o aprendizado de máquina parece ser aplicado à triagem [da] identificação [de] software malicioso e à criação de soluções para ele”, disse Bray. “Então, ainda é o modelo antigo. É apenas mais rápido. Com o volume da maioria dos softwares disponíveis. Não importa o quão rápido você seja se conseguir uma assinatura em 15 ou cinco minutos, pois essas ameaças se propagam globalmente em segundos. Não vemos [o aprendizado de máquina deles] como uma solução de IA como a nossa.”

Seria injusto categorizar tal afirmação como algo diferente de opinião – algo que temos certeza de que outras empresas de antivírus contestariam.

Na verdade, vimos proteções anti-ransomware de empresas como Malwarebytes e Zone Alarm oferece software analítico semelhante que analisa os processos à medida que eles começam a ser executados e se detectam comportamento malicioso em seus aplicativos, interrompe-os e, em alguns casos, reverte quaisquer alterações feitas.

Além disso, de acordo com o Malwarebytes, existem alguns problemas sérios em confiar apenas no aprendizado de máquina para detecção de ameaças.

“Ele não cobre TODOS os tipos de malware e ameaças e é muito mais propenso a falsos positivos”, disse-nos Pedro Bustamante, vice-presidente de produtos e pesquisa da Malwarebytes. “[Nós] implementamos o aprendizado de máquina como uma das camadas de detecção em sua pilha de proteção. Não é a camada principal, mas é uma camada importante.”

Claramente, Bustamante não acredita que o aprendizado de máquina seja o fim de tudo do ponto de vista da detecção de malware. Ele até afirmou que não poderia prever um momento em que o aprendizado de máquina seria tudo o que seria necessário para o software antimalware.

Ainda assim, Bray foi inflexível ao afirmar que a solução da Cylance é bem diferente. Descobrir os detalhes do que o torna assim não foi fácil, mas ele explicou a IA com mais detalhes afirmando que foi treinado em milhões de atributos que poderiam sugerir “bom e mau comportamento”, como ele colocá-lo.

“[O algoritmo] analisa essencialmente qualquer software executado naquele dispositivo e antes disso software pode executá-lo, usa o poder do aprendizado de seu treinamento para olhar para isso e dizer: 'Ok, isso é bom. Vou deixar correr ou não, isso é ruim'”, disse ele.

Análise sobre varreduras

Uma área onde Solução antiviral da Cylance é distintamente diferente da maioria, é que ele não oferece nenhum tipo de função de verificação de correção com seu software. As varreduras estão no centro da maioria dos softwares antivírus há décadas, mas para a Cylance, isso é mais parecido com fechar a porta depois que o cavalo fugiu.

Em vez disso, concentra-se inteiramente na proteção ao vivo, garantindo que as ameaças sejam detectadas antes mesmo de começarem a ter impacto no sistema. A vantagem disso, diz Bray, é que seu software ocupa um espaço muito pequeno no sistema em que está instalado e requer muito menos recursos para ser executado.

“Como [o Cylance AV] não precisa mexer no disco rígido e executar todas essas verificações, o impacto nos recursos é significativamente menor do que uma solução legada”, disse ele. “Se você pensar em uma solução legada, ela [...] tem esse banco de dados de arquivos de assinatura que precisa ser referência toda vez que está verificando algo - apenas indo e voltando e verificando a assinatura lista de arquivos.”

Ao evitar isso, afirma Bray, o Cylance Smart Antvirius é muito menos oneroso para o sistema. Em alguns testes muito rudimentares dessa afirmação, descobrimos que ela era um pouco confusa.

Quando nenhum novo aplicativo foi aberto, descobrimos que o cliente era muito leve, consumindo não mais do que alguns megabytes de BATER e quase zero por cento da nossa CPU (Intel Core i5-4690k). No entanto, ao abrir novos aplicativos, observamos picos significativos no uso da CPU, em um caso (quando abrindo o Adobe Acrobat DC), eram necessários até 50% da CPU do sistema de teste para alguns segundos.

Em comparação, o Malwarebytes Antimalware, que também rodava no mesmo sistema, exigia cerca de 150 MB de RAM durante o modo inativo, mas normalmente exigia apenas uma pequena porcentagem dos ciclos da CPU ao abrir novos formulários.

No entanto, o Malwarebytes continuou a mostrar esses números ao abrir repetidamente os mesmos aplicativos, enquanto A solução da Cylance pareceu aprender que tais aplicativos não eram maliciosos e exigiam muito menos recursos repetidamente lançamentos.

Esses testes estão longe de ser conclusivos, mas parecem destacar a diferença entre soluções antimalware soluções quando se trata de recursos necessários para rastrear processos potencialmente perigosos em execução em um sistema.

Policiamento preditivo sob o capô

Independentemente de todo o resto Antivírus Inteligente da Cylance faz, o recurso do qual Bray mais se orgulhava era sua capacidade de detectar ameaças “desconhecidas”. Ou seja, malware que ainda não foi escrito ou mesmo categorizado de forma eficaz. Ao confiar fortemente na análise do comportamento do processo, ele afirma que o software de segurança da Cylance é capaz de lidar com ameaças que ninguém jamais viu antes.

“Com uma solução baseada em IA, um aplicativo que pode identificar as características de um software malicioso, não importa se ele é conhecido ou desconhecido”, disse ele. “Você pode dizer, ei, isso é ruim e tomar decisões em frações de segundo.”

Novos tipos de ataques de ransomware são uma área em que ele considera que o software é particularmente bom no combate. Citando o QueroCataque de ransomware em meados de 2017, Bray alegou que a Cylance alimentou o software malicioso com uma cópia de seu algoritmo de dois anos antes, e que foi capaz de detectar o ransomware e detê-lo, apesar de ser anterior à sua criação por alguns tempo.

O mesmo se aplica a novos ataques de ransomware, disse ele, que são interrompidos antes mesmo de começarem e o usuário final não percebe.

Operar perfeitamente, fora da linha de visão dos consumidores, era algo em que ele e a Cylance realmente acreditavam, eliminando a ênfase do conhecimento e da supervisão do consumidor.

“Ao longo dos anos, as pessoas se acostumaram a [pensar] ‘Ok, estou executando um software de segurança, mas não deveria ter clicado duas vezes nele e é por isso que estou infectado'”, disse ele. “Com nossa solução, nossa filosofia é 'ei, quer saber, clique no que quiser, nós ajudamos você'”.

Mesmo que o Smart Antivirus baseado em IA da Cylance não seja tão revolucionário quanto seu marketing pode sugerir, é certamente uma abordagem mais enxuta e focada para a segurança cibernética. Se puder prever e impedir o próximo WannaCry, deixaremos felizmente a IA assumir o controle.

Recomendações dos Editores

• IA normalmente não esquece nada, mas o novo sistema do Facebook sim. Aqui está o porquê
• Como a IA criou aquele incrível rolo de destaques esportivos que você não consegue parar de assistir
• Se IA não substitui o seu trabalho, pode torná-lo muito mais agradável