Cylance Smart Antivirus vill lämna över skydd mot skadlig programvara till AI

(i) Säker är en veckokolumn som dyker in i det snabbt eskalerande ämnet cybersäkerhet.

En annan dag, ännu en skadlig attack. Oavsett hur mycket pengar som satsas på att öka cybersäkerheten verkar situationen inte förbättras. Kan maskininlärning som anpassar sig till nya metoder vara lösningen?

För vissa företag går sådana maskininlärningstekniker hand i hand med mer traditionell signaturbaserad upptäckt och andra använder beteendeinlärning för att se upp för andra, ospecificerade hot. För hotförebyggande företaget Cylance är dock maskininlärning allt det behöver för att erbjuda vad det hävdar är den mest effektiva lösningen mot skadlig programvara som finns tillgänglig idag.

Som Googles Sundar Pinchai mästare förra året satte Cylance AI först i sin nya konsumentinriktade antimalware-lösning. Men mer än det, den lägger endast AI i sin flaggskeppssäkerhetsprogramvara, som den hävdar är mer än tillräckligt för att kväva skadlig programvara igår, idag och imorgon.

Allt du behöver är kärlek... till AI

"Om man ser på det historiskt, går all teknik från äldre leverantörer verkligen tillbaka till 1990-talet som verkar under premissen att någon behöver bli smittad för att resten ska skyddas, säger Cylance senior VP, Christopher Bray, till Digital Trender. "Det fungerade väldigt bra och på 90-talet och början av 2000-talet, när du bara hade en handfull virus som släpptes varje månad, kunde du få en uppdatering till slutanvändarna [snabbt]."

Men idag, förklarade han, är saker helt annorlunda. Med hänvisning till att det finns mer än 350 000 nya delar av skadlig programvara som släpps varje dag, sådana signaturbaserade anti-malware-lösningar släpper helt enkelt inte det, sa han.

De typer av hot som konsumenter, företag och säkerhetsföretagen som skyddar dem möter är också olika. Medan spam och reklamprogram fortfarande är vanliga, nya hot som ransomware och cryptojacking har blivit vanliga. Med dessa nya och ständigt växande attacker tror Cylance att maskininlärning och AI-driven smart programvara är det enda riktiga sättet att bekämpa det.

"Vi har tränat en algoritm. Vi har tränat det med prover av bra och prover av dålig programvara,” sa han. "Den smarta antivirusprodukten som finns på en stationär Mac eller en PC och inspekterar varje fil som försöker kör och innan det kan köras kommer du att analysera det och säga, hej, är det här bra eller är det så här dåligt och om det är dåligt. Den sätter den i karantän."

Detta, hävdar Bray, är allt du verkligen behöver. Men är det verkligen sant?

AI-tävling

Att enbart förlita sig på maskininlärning är inte ett tillvägagångssätt som andra anti-malware-företag använder, inte ens de som införlivar AI i processen. Även om Bray kan ha en lysande uppfattning om Cylances egen maskininlärning, använder andra företag det också. Kaspersky, Malwarebytes, McAfee, och många andra, alla använder maskininlärning för att upptäcka skadlig programvara, de tenderar bara att göra det tillsammans med mer traditionella tekniker.

Så vad är så annorlunda med Cylances lösning?

"Vad vi ser från industrin just nu inom konsumentområdet, maskininlärning verkar användas för att triaging [identifiera] skadlig programvara och skriva korrigeringar för det," sa Bray. "Så, det är fortfarande den gamla modellen. Det är bara snabbare. Med volymen av de flesta program där ute. Det spelar ingen roll hur snabb du är om du får en signatur på 15 minuter eller fem minuter eftersom dessa hot sprider sig inom några sekunder globalt. Vi ser inte [deras maskininlärning] som en AI-lösning som vår."

Det skulle vara orättvist att kategorisera ett sådant uttalande som något annat än åsikter – ett som vi är säkra på att andra antivirusföretag skulle bestrida.

Vi har faktiskt sett anti-ransomware-skydd från sådana som Malwarebytes och Zone Alarm erbjuder liknande analytisk programvara som tittar på processer när de börjar köra och om de upptäcker skadligt beteende i sin applikation, stoppar dem i deras spår och i vissa fall rullar tillbaka alla ändringar som de gjort.

Dessutom, enligt Malwarebytes, finns det några allvarliga problem med att enbart förlita sig på maskininlärning för att upptäcka hot.

"Det täcker inte ALLA typer av skadlig programvara och hot, och är mycket mer benägen att få falska positiva resultat," berättade Pedro Bustamante, VP of Products & Research på Malwarebytes. "[Vi] implementerar maskininlärning som ett av detekteringsskikten i dess skyddsstack. Det är inte huvudskiktet, men det är ett viktigt skikt.”

Det är uppenbart att Bustamante inte tror att maskininlärning är slutresultatet ur en skadlig upptäcktssynpunkt. Han sa till och med att han inte kunde förutse en tid då maskininlärning skulle vara allt som behövdes för anti-malware-programvara.

Ändå var Bray stenhård på att Cylances lösning är helt annorlunda. Det var inte lätt att spika honom på detaljerna i vad som gör det så, men han förklarade AI ytterligare genom anger att den har tränats på miljontals egenskaper som kan tyda på "bra och dåligt beteende", eftersom han Ställ det.

"[Algorithmen] analyserar i huvudsak vilken mjukvara som helst som körs på den enheten och innan dess programvara kan köra den använder kraften i it's learning av sin träning för att titta på det och säga, 'Okej, det här är Bra. Jag låter det springa eller nej, det här är dåligt", sa han.

Analys över skanningar

Ett område där Cylances antivirala lösning är tydligt annorlunda än de flesta, är att den inte erbjuder någon form av saneringsskanningsfunktion med sin programvara. Skanningar har varit kärnan i de flesta antivirusprogram i decennier, men för Cylance är det mer likt att stänga dörren efter att hästen har slagit fast.

Istället fokuserar det helt på live-skydd och ser till att hot upptäcks innan de ens börjar påverka ett system. Fördelen med detta, berättar Bray, är att dess mjukvara har ett mycket litet fotavtryck på systemet den är installerad på och kräver mycket mindre resurser att köra.

"Eftersom [Cylance AV] inte behöver köra igenom din hårddisk och köra alla dessa skanningar, är resurspåverkan betydligt lägre än en äldre lösning", sa han. "Om du tänker på en äldre lösning har den […] den här databasen med signaturfiler som den sedan behöver för att referera varje gång den kontrollerar något - bara genom att gå fram och tillbaka och kontrollera signaturen fil-lista."

Genom att undvika det, hävdar Bray, är Cylance Smart Antvirius mycket mindre belastande för ett system. I några mycket rudimentära tester av detta påstående fann vi att det var lite blandat.

När inga nya applikationer öppnades, fann vi att klienten var väldigt lätt och förbrukade inte mer än några megabyte Bagge och nästan noll procent av vår (Intel Core i5-4690k) CPU. Men när vi öppnade nya applikationer såg vi betydande toppar i CPU-användning, i ett fall (när öppna Adobe Acrobat DC) det krävde så mycket som 50 procent av testsystemets CPU för ett fåtal sekunder.

Som jämförelse krävde Malwarebytes Antimalware, som också kördes på samma system, nära 150 MB RAM-minne på tomgång, men krävde vanligtvis bara några få procent av processorns cykler när man öppnade ny applikationer.

Men Malwarebytes fortsatte att visa sådana siffror vid upprepad öppning av samma applikationer, medan Cylances lösning verkade lära sig att sådana appar inte var skadliga och krävde mycket mindre resurser vid upprepning lanseras.

Dessa tester är långt ifrån avgörande, men verkar belysa skillnaden mellan anti-malware lösningar när det gäller resurser som krävs för att spåra potentiellt farliga processer som körs på en systemet.

Predictive policing under huven

Oavsett allt annat Cylances smarta antivirus Den funktion som Bray var mest stolt över var dess förmåga att upptäcka "okända" hot. Det vill säga skadlig programvara som ännu inte har skrivits eller ens effektivt kategoriserats. Genom att förlita sig mycket på analys av processbeteende, hävdar han att Cylances säkerhetsprogramvara kan hantera hot som ingen någonsin har sett förut.

"Med en AI-baserad lösning, en applikation som kan identifiera egenskaperna hos skadlig programvara, spelar det ingen roll om det är känt eller okänt," sa han. "Du kan säga, hej, den här saken är dålig och fatta beslut på en del av en sekund."

Nya typer av ransomware-attacker är ett område där han upplever att programvaran är särskilt bra på att bekämpa. Med hänvisning till VillCry ransomware attack från mitten av 2017, hävdade Bray att Cylance matade den skadliga programvaran till en kopia av dess algoritm från två år tidigare, och att det kunde upptäcka ransomware och stoppa det i dess spår, trots att det var före det att det skapades av vissa tid.

Detsamma gäller nya ransomware-attacker, sa han, som stoppas innan de ens har börjat och slutanvändaren är inte klokare.

Att fungera sömlöst utanför konsumenternas synfält var något som han och Cylance verkligen tror på, vilket tar bort betoningen av kunskap och tillsyn från konsumenten.

"Under åren har folk vant sig vid att [tänka] 'Okej, jag kör säkerhetsprogramvara men jag borde inte ha dubbelklickat på det och det är därför jag är infekterad'", sa han. "Med vår lösning är vår filosofi "hej, vet du vad, klicka på vad du än känner för, vi har din rygg."

Även om Cylances AI-drivna smarta antivirus kanske inte är så revolutionerande som marknadsföringen kan antyda, är det verkligen ett slankare och mer fokuserat förhållningssätt till cybersäkerhet. Om den kan förutsäga och stoppa nästa WannaCry låter vi gärna AI ta ratten.

Redaktörens rekommendationer

• A.I. brukar inte glömma någonting, men det gör Facebooks nya system. Här är varför
• Hur A.I. skapade den där fantastiska sporthöjdpunktsrullen som du inte kan sluta titta på
• Om A.I. ersätter inte ditt jobb, det kan göra det mycket trevligare