Firma Sophos jest jednym z najbardziej doświadczonych na rynku dostawców rozwiązań cyberochronnych i od lat wykorzystuje w nich także mechanizm głębokiego uczenia. Zastosowano go po raz pierwszy w celu wykrywania złośliwego oprogramowania w 2010 r., gdy w amerykańskiej Agencji Zaawansowanych Projektów Badawczych w Obszarze Obronności (DARPA) stworzono pierwszy program „cybergenetyczny”. Zakładano, że będzie pomocny w wykrywaniu DNA złośliwego kodu i różnego typu cyberataków. Dzisiaj podobne algorytmy są zaimplementowane w oferowanym przez Sophos rozwiązaniu Intercept X.

Wielu producentów deklaruje, że ich narzędzia wykorzystują nauczanie maszynowe, ale w rzeczywistości skuteczność tych rozwiązań bywa różna. Inspiracją stosowanego przez Sophos mechanizmu bazującego na sieciach neuronowych, wykorzystywanego do wykrywania złośliwego kodu, była praca ludzkiego mózgu. Jest to ten sam rodzaj uczenia maszynowego, jaki jest stosowany w algorytmach służących do rozpoznawania twarzy, przetwarzania naturalnego języka, programowania samochodów autonomicznych i w innych dziedzinach naukowych aktywnie wspieranych przez komputery.

Głębokie uczenie jest znacznie skuteczniejsze niż inne metody uczenia maszynowego, takie jak random forest, algorytm centroidów czy sieci bayesowskie, ale wymaga ogromnej ilości danych oraz dużej mocy obliczeniowej. Dzięki wieloletniemu doświadczeniu działu SophosLabs oraz wykorzystywaniu zbieranej przez ponad 30 lat olbrzymiej bazy próbek złośliwego kodu (która codziennie jest zasilana informacjami z ponad 100 mln urządzeń końcowych użytkowników oprogramowania producenta) model stworzony przez Sophos jest niezawodny.

Tradycyjne metody uczenia maszynowego charakteryzują się też tym, że analizowane bazy danych mają bardzo dużą objętość, niekiedy zajmują na dysku wiele gigabajtów. Sophos opracował sposób skutecznego kompresowania danych, dzięki czemu ich baza zajmuje mniej niż 20 MB na urządzeniu końcowym i praktycznie nie wpływa na jego wydajność.
 
Optymalizacja wykorzystywania zasobów pamięci ma duże znaczenie, bo większość rozwiązań ochronnych działa w sposób reaktywny i zdecydowanie zbyt wolno. Liczba oraz poziom skomplikowania ataków wciąż rośnie, dlatego stosowane dotychczas metody zabezpieczeń przestały wystarczać. Dla przykładu, SophosLabs analizuje dziennie ponad 400 tys. nowych próbek złośliwego kodu, a 75 proc. z nich nigdy się nie powtarza.

Dlatego Sophos postawił sobie za cel, aby stosowany przez niego mechanizm głębokiego uczenia był bardzo szybki. Udało się go osiągnąć – w ciągu 20 ms można zasymulować miliony sposobów zachowania danego pliku (przed jego uruchomieniem), dokonać dogłębnej analizy działania i ocenić, czy jest to złośliwy kod.

Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są firmy AB i Konsorcjum FEN.

 

Głębokie uczenie przetestowane

Sophos dba o przejrzystość stosowanej metody wykrywania zagrożeń. Była prezentowana podczas takich konferencji jak Black Hat, a także testowana przez niezależne instytucje. Jedną z nich jest VirusTotal, która w sierpniu 2016 r. wystawiła rozwiązaniu Intercept X pozytywną ocenę. Podobnie było w testach przeprowadzonych przez NSS Labs. We wszystkich przypadkach podkreślano bardzo wysoką wydajność pracy rozwiązania i małą liczbę fałszywych alarmów.

 

Mariusz Rzepka, Territory Manager Eastern Europe, Sophos

Stosowana w Intercept X neuronowa sieć, na której bazuje koncepcja głębokiego uczenia, działa jak ludzki mózg. Dzięki temu zapewnia bardzo wysoką skuteczność wykrywania zarówno znanego złośliwego kodu, jak i ataków dnia zerowego. Gwarantuje także niższy niż w przypadku tradycyjnych rozwiązań współczynnik fałszywych alarmów. Potwierdzili to analitycy z laboratorium ESG, którzy w raporcie z grudnia 2017 r. poinformowali, że Intercept X zatrzymał każdy rodzaj zasymulowanego skomplikowanego ataku.

 

Dodatkowe informacje:
Mariusz Rzepka, Territory Manager Eastern Europe, Sophos, mariusz.rzepka@sophos.com