Intercept X – przyszłość bezpieczeństwa IT
Głębokie uczenie (deep learning), jako zaawansowana forma uczenia maszynowego, umożliwiło zmianę podejścia do zabezpieczania urządzeń końcowych. Dzięki tej technice proponowane przez Sophos rozwiązanie Intercept X zapewnia ich proaktywną ochronę przed nieznanymi zagrożeniami.
Firma Sophos jest jednym z najbardziej doświadczonych na rynku dostawców rozwiązań cyberochronnych i od lat wykorzystuje w nich także mechanizm głębokiego uczenia. Zastosowano go po raz pierwszy w celu wykrywania złośliwego oprogramowania w 2010 r., gdy w amerykańskiej Agencji Zaawansowanych Projektów Badawczych w Obszarze Obronności (DARPA) stworzono pierwszy program „cybergenetyczny”. Zakładano, że będzie pomocny w wykrywaniu DNA złośliwego kodu i różnego typu cyberataków. Dzisiaj podobne algorytmy są zaimplementowane w oferowanym przez Sophos rozwiązaniu Intercept X.
Wielu producentów deklaruje, że ich narzędzia wykorzystują nauczanie maszynowe, ale w rzeczywistości skuteczność tych rozwiązań bywa różna. Inspiracją stosowanego przez Sophos mechanizmu bazującego na sieciach neuronowych, wykorzystywanego do wykrywania złośliwego kodu, była praca ludzkiego mózgu. Jest to ten sam rodzaj uczenia maszynowego, jaki jest stosowany w algorytmach służących do rozpoznawania twarzy, przetwarzania naturalnego języka, programowania samochodów autonomicznych i w innych dziedzinach naukowych aktywnie wspieranych przez komputery.
Głębokie uczenie jest znacznie skuteczniejsze niż inne metody uczenia maszynowego, takie jak random forest, algorytm centroidów czy sieci bayesowskie, ale wymaga ogromnej ilości danych oraz dużej mocy obliczeniowej. Dzięki wieloletniemu doświadczeniu działu SophosLabs oraz wykorzystywaniu zbieranej przez ponad 30 lat olbrzymiej bazy próbek złośliwego kodu (która codziennie jest zasilana informacjami z ponad 100 mln urządzeń końcowych użytkowników oprogramowania producenta) model stworzony przez Sophos jest niezawodny.
Tradycyjne metody uczenia maszynowego charakteryzują się też tym, że analizowane bazy danych mają bardzo dużą objętość, niekiedy zajmują na dysku wiele gigabajtów. Sophos opracował sposób skutecznego kompresowania danych, dzięki czemu ich baza zajmuje mniej niż 20 MB na urządzeniu końcowym i praktycznie nie wpływa na jego wydajność.
Optymalizacja wykorzystywania zasobów pamięci ma duże znaczenie, bo większość rozwiązań ochronnych działa w sposób reaktywny i zdecydowanie zbyt wolno. Liczba oraz poziom skomplikowania ataków wciąż rośnie, dlatego stosowane dotychczas metody zabezpieczeń przestały wystarczać. Dla przykładu, SophosLabs analizuje dziennie ponad 400 tys. nowych próbek złośliwego kodu, a 75 proc. z nich nigdy się nie powtarza.
Dlatego Sophos postawił sobie za cel, aby stosowany przez niego mechanizm głębokiego uczenia był bardzo szybki. Udało się go osiągnąć – w ciągu 20 ms można zasymulować miliony sposobów zachowania danego pliku (przed jego uruchomieniem), dokonać dogłębnej analizy działania i ocenić, czy jest to złośliwy kod.
Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są firmy AB i Konsorcjum FEN.
Głębokie uczenie przetestowane
Sophos dba o przejrzystość stosowanej metody wykrywania zagrożeń. Była prezentowana podczas takich konferencji jak Black Hat, a także testowana przez niezależne instytucje. Jedną z nich jest VirusTotal, która w sierpniu 2016 r. wystawiła rozwiązaniu Intercept X pozytywną ocenę. Podobnie było w testach przeprowadzonych przez NSS Labs. We wszystkich przypadkach podkreślano bardzo wysoką wydajność pracy rozwiązania i małą liczbę fałszywych alarmów.
Mariusz Rzepka, Territory Manager Eastern Europe, Sophos
Stosowana w Intercept X neuronowa sieć, na której bazuje koncepcja głębokiego uczenia, działa jak ludzki mózg. Dzięki temu zapewnia bardzo wysoką skuteczność wykrywania zarówno znanego złośliwego kodu, jak i ataków dnia zerowego. Gwarantuje także niższy niż w przypadku tradycyjnych rozwiązań współczynnik fałszywych alarmów. Potwierdzili to analitycy z laboratorium ESG, którzy w raporcie z grudnia 2017 r. poinformowali, że Intercept X zatrzymał każdy rodzaj zasymulowanego skomplikowanego ataku.
Dodatkowe informacje:
Mariusz Rzepka, Territory Manager Eastern Europe, Sophos, mariusz.rzepka@sophos.com
Podobne artykuły
Gangi ransomware rozdają karty
Cyberprzestępcy przeszli do ofensywy, a nierzadko można odnieść wrażenie, że wykazują się większą kreatywnością i determinacją niż przedstawiciele „jasnej strony mocy”.
Sprzęt coraz bardziej inteligentny
Producenci sprzętu IT pokładają duże nadzieje w generatywnej sztucznej inteligencji. Bieżący rok przyniesie wstępną weryfikację ich oczekiwań.
Przyszłość usług monitorowania bezpieczeństwa
Wobec wzrostu zagrożenia cyberatakami znaczenia nabiera ciągłe monitorowanie bezpieczeństwa. I wcale nie trzeba na to przeznaczać całego swojego budżetu na cyberbezpieczeństwo.