Cylance Smart Antivirus хочет передать защиту от вредоносных программ ИИ

(ненадежный — это еженедельная колонка, посвященная быстро развивающейся теме кибербезопасности.

Еще один день, еще одна атака вредоносного ПО. Независимо от того, сколько денег вкладывается в повышение кибербезопасности, ситуация, похоже, не улучшится. Может ли машинное обучение, адаптирующееся к новым методам, стать решением?

В некоторых компаниях такие методы машинного обучения идут рука об руку с более традиционным обнаружением на основе сигнатур, а другие используют поведенческое обучение для предотвращения других, неуказанных угроз. Однако для компании по предотвращению угроз Cylance машинное обучение — это все, что ей нужно, чтобы предложить то, что, по ее утверждению, является наиболее эффективным решением для защиты от вредоносных программ, доступным сегодня.

Как у Google Сундар Пинчай поддержал В прошлом году Cylance поставила искусственный интеллект на первое место в своем новом решении для защиты от вредоносного ПО, ориентированном на потребителя. Более того, компания вводит в свое флагманское программное обеспечение безопасности только искусственный интеллект, которого, по ее утверждению, более чем достаточно для подавления угроз вредоносного ПО. вчера, сегодня и завтра.

Все, что вам нужно, это любовь… ИИ

«Если вы посмотрите на это исторически, все технологии устаревших поставщиков действительно появились в 1990-х годах и работали под предпосылка, что кто-то должен заразиться, чтобы остальные были защищены», — сказал Digital старший вице-президент Сайланса Кристофер Брэй. Тенденции. «Это работало очень хорошо, и в 90-х и начале 2000-х годов, когда каждый месяц выпускалось всего несколько вирусов, вы могли [быстро] получать обновления для конечных пользователей».

Однако сегодня, пояснил он, дела обстоят совсем по-другому. По его словам, ссылаясь на то, что каждый день выпускается более 350 000 новых вредоносных программ, такие сигнатурные антивирусные решения просто не справляются с этой задачей.

Типы угроз, с которыми сталкиваются потребители, предприятия и охранные компании, которые их защищают, также различны. Хотя спам и рекламное ПО по-прежнему широко распространены, появились новые угрозы, такие как программы-вымогатели и криптоджекинг стали обычным явлением. Сайланс считает, что с учетом этих новых и постоянно растущих атак машинное обучение и интеллектуальное программное обеспечение на основе искусственного интеллекта являются единственным реальным способом борьбы с ними.

«Мы обучили алгоритм. Мы обучили его на образцах хорошего и плохого программного обеспечения», — сказал он. «Умный антивирусный продукт, который устанавливается на настольный Mac или ПК и проверяет каждый файл, который пытается выполнить, и прежде чем он сможет запуститься, вы проанализируете его и скажете: «Эй, это хорошо или это плохо, и если это плохо». Это поместит его на карантин».

Это, как утверждает Брэй, — это все, что вам действительно нужно. Но так ли это на самом деле?

конкурс ИИ

Полагаться исключительно на машинное обучение — это не тот подход, который используют другие компании по борьбе с вредоносным ПО, даже те, которые включают в этот процесс искусственный интеллект. Хотя у Брея может быть хорошее мнение о собственном машинном обучении Сайланса, другие компании тоже его используют. Касперский, Макафии многие другие используют машинное обучение для обнаружения вредоносного программного обеспечения, просто они склонны делать это наряду с более традиционными методами.

Так что же такого особенного в решении Сайланса?

«То, что мы сейчас видим в отрасли в потребительском пространстве, — машинное обучение, по-видимому, применяется для идентификации вредоносного программного обеспечения и написания исправлений для него», — сказал Брей. «Итак, это все еще старая модель. Это просто быстрее. С объемом большинства программного обеспечения. Не имеет значения, насколько вы быстры, если вы получите сигнатуру за 15 или пять минут, поскольку эти угрозы распространяются по всему миру за считанные секунды. Мы не рассматриваем [их машинное обучение] как решение искусственного интеллекта, как наше».

Было бы несправедливо отнести такое заявление к чему-либо иному, чем к мнению, которое, мы уверены, будут оспаривать другие антивирусные компании.

Действительно, мы видели средства защиты от программ-вымогателей, такие как Malwarebytes и Zone Alarm предлагает аналогичное аналитическое программное обеспечение который отслеживает процессы в момент их запуска и, если они обнаруживают вредоносное поведение в своих приложениях, останавливает их работу и в некоторых случаях откатывает любые внесенные ими изменения.

Кроме того, по данным Malwarebytes, существует ряд серьезных проблем, если полагаться исключительно на машинное обучение для обнаружения угроз.

«Он не охватывает ВСЕ типы вредоносных программ и угроз и гораздо более склонен к ложным срабатываниям», — сказал нам Педро Бустаманте, вице-президент по продуктам и исследованиям Malwarebytes. «[Мы] реализуем машинное обучение в качестве одного из уровней обнаружения в стеке защиты. Это не основной слой, но это важный слой».

Очевидно, Бустаманте не считает, что машинное обучение — это главное с точки зрения обнаружения вредоносного ПО. Он даже заявил, что не может предвидеть то время, когда машинное обучение будет всем, что потребуется для антивирусного программного обеспечения.

Тем не менее, Брэй был непреклонен в том, что решение Сайланса совершенно иное. Растолковать ему подробности того, что делает это таким, было непросто, но он объяснил ИИ дальше: заявив, что он обучен миллионам атрибутов, которые могут указывать на «хорошее и плохое поведение», как он положи это.

«[Алгоритм] по существу анализирует любую часть программного обеспечения, которая работает на этом устройстве и до этого. программное обеспечение может его запустить, использует силу своего обучения, чтобы посмотреть на это и сказать: «Хорошо, это хороший. Я позволю этому работать или нет, это плохо», — сказал он.

Анализ по сканам

Одна область, где Противовирусное решение Cylance заметно отличается от большинства других тем, что в своем программном обеспечении он не предлагает никаких функций сканирования для исправления. Сканирование было основой большинства антивирусных программ на протяжении десятилетий, но для Сайланса это больше похоже на закрытие двери после того, как лошадь убежала.

Вместо этого он полностью фокусируется на живой защите, гарантируя обнаружение угроз еще до того, как они начнут оказывать влияние на систему. Преимущество этого, говорит нам Брей, заключается в том, что его программное обеспечение занимает очень мало места в системе, в которой оно установлено, и требует гораздо меньше ресурсов для работы.

«Поскольку [Cylance AV] не нужно перегружать ваш жесткий диск и запускать все эти сканирования, воздействие на ресурсы значительно ниже, чем у устаревшего решения», — сказал он. «Если вы думаете о устаревшем решении, то у него […] есть база данных файлов сигнатур, которую затем необходимо ссылаться каждый раз, когда он что-то проверяет — просто за счет перемещения туда-сюда и проверки подписи список файлов».

Избегая этого, утверждает Брэй, Cylance Smart Antvirius значительно снижает нагрузку на систему. В ходе весьма элементарного тестирования этого утверждения мы обнаружили, что оно представляет собой некоторую путаницу.

Когда новые приложения не открывались, мы обнаружили, что клиент очень легкий и потребляет не более нескольких мегабайт БАРАН и почти ноль процентов нашего процессора (Intel Core i5-4690k). Однако при открытии новых приложений мы наблюдали значительные всплески использования ЦП, в одном случае (когда открытия Adobe Acrobat DC) потребовалось до 50 процентов процессорного времени тестовой системы для нескольких секунды.

Для сравнения, антивирусной программе Malwarebytes Antimalware, которая также работала в той же системе, требовалось около 150 МБ. ОЗУ в режиме ожидания, но обычно требуется лишь несколько процентов циклов ЦП при открытии новых Приложения.

Однако Malwarebytes продолжал показывать такие цифры при повторном открытии одних и тех же приложений. Решение Cylance, похоже, обнаружило, что такие приложения не являются вредоносными и требуют гораздо меньше ресурсов при повторении. запускает.

Эти тесты далеки от окончательных, но, похоже, подчеркивают разницу между защитой от вредоносных программ. решения, когда речь идет о ресурсах, необходимых для отслеживания потенциально опасных процессов, запущенных на система.

Предиктивная полицейская деятельность под капотом

Независимо от всего остального Умный антивирус Cylance делает, то единственной особенностью, которой Брей больше всего гордился, была способность обнаруживать «неизвестные» угрозы. То есть вредоносное ПО, которое еще предстоит написать или хотя бы эффективно классифицировать. Полагаясь на анализ поведения процессов, он утверждает, что программное обеспечение безопасности Cylance способно справляться с угрозами, с которыми никто никогда раньше не сталкивался.

«Благодаря решению на основе искусственного интеллекта, приложению, которое может идентифицировать характеристики вредоносного программного обеспечения, не имеет значения, известно оно или неизвестно», — сказал он. «Вы можете сказать: «Эй, это плохая штука», и принять решение за доли секунды».

Новые типы атак программ-вымогателей — это одна из областей, в которой, по его мнению, это программное обеспечение особенно хорошо справляется с задачей. Ссылаясь на ХочуСатака программы-вымогателя ry с середины 2017 г.Брэй заявил, что Сайланс внедрил вредоносное программное обеспечение в копию своего алгоритма, созданного двумя годами ранее, и что он смог обнаружить программу-вымогатель и остановить ее, несмотря на то, что некоторые время.

То же самое относится и к новым атакам программ-вымогателей, сказал он, которые останавливаются еще до того, как они начнутся, и конечный пользователь от этого не становится мудрее.

Он и Сайланс искренне верили в то, что беспрепятственно работать вне поля зрения потребителей, снимая с потребителя акцент на знаниях и надзоре.

«За прошедшие годы люди привыкли [думать]: «Хорошо, я использую программное обеспечение безопасности, но мне не следовало дважды щелкать по нему, и именно поэтому я заражен», — сказал он. «В нашем решении наша философия такова: «Эй, знаете что, нажимайте на все, что вам хочется, мы вас поддержим».

Даже если интеллектуальный антивирус Cylance на основе искусственного интеллекта, возможно, не так революционен, как может показаться в его маркетинге, это, безусловно, более компактный и более целенаправленный подход к кибербезопасности. Если он сможет предсказать и остановить следующий WannaCry, мы с радостью позволим ИИ сесть за руль.

Рекомендации редакции

• А.И. обычно ничего не забывает, но новая система Facebook умеет. Вот почему
• Как А.И. создал потрясающий ролик о спортивных событиях, от просмотра которого невозможно оторваться
• Если бы А.И. не заменяет вашу работу, но может сделать ее намного приятнее