Według statystyk obecnie aż 25% wydatków na technologię obejmuje inwestycję w rozwiązania wykorzystujące sztuczną inteligencję. Istnieje wiele obszarów biznesowych i związanych z zarządzaniem przedsiębiorstwem, na których AI znajduje zastosowanie. Jednym z ważniejszych jest obecnie AV – ochrona przed cyberatakami. Ma to związek zarówno z coraz doskonalszymi metodami stosowanymi przez hakerów, jak i z nowymi regulacjami prawnymi (RODO).
Ochrona nowej generacji
Liderzy światowego biznesu przerzucili się na rozwiązania nowej generacji – Next Generation Antivirus (NGAV), które są w stanie tworzyć zaporę efektywną w 100%. Rozwiązania NGAV oparte są na zupełnie innym podejściu technologicznym do wykrywania i blokowania szkodliwej aktywności: skupiają się na punktach końcowych sieci i analizują każdy proces w każdym punkcie końcowym, by algorytmicznie wykryć i zablokować szkodliwe narzędzia, techniki i zabiegi (tools, tactics, techniques and procedures – TTPs), na których często polegają atakujący. Obecnie ochrona skupia się na wykrywaniu zagrożenia i reakcji na nie, nie na zapobieganiu zagrożeniom za wszelką cenę. Rozwiązania NGAV są stosunkowo łatwe do wdrożenia i dają możliwość zarządzania w chmurze.
Zadanie NGAV:
- Powstrzymywanie nieznanych złośliwych programów oraz bardziej wyrafinowanych prób ataku, poprzez ocenę całego kontekstu systemowego pojawienia się szkodliwych elementów. Ocena wykonywana jest na podstawie wcześniej zdefiniowanych wskaźników.
- Wykrywanie i raportowanie źródła cyberataku, dostarczanie informacji na temat przewidywanych następstw szkodliwego działania oraz wykrywanie luk w zabezpieczeniach (np. funkcja Exploit Protection w produktach G DATA.
- Naprawa wyrządzonych szkód.
- Blokowanie procesów, które starają się naśladować normalną aktywność systemową (nie skupia się na plikach, tylko na procesach). Złośliwe oprogramowanie wykrywane jest na przykład, gdy program automatycznie tworzy pozycje autostart lub inne podejrzane wartości w bazie danych (rejestrze) systemu Windows.
- Tworzenie whitelisty aplikacji i wykrywaniu anomalii w systemie, czyli innymi słowy, blokowaniu wszystkiego, co wydaje się nietypowe dla danego środowiska (w związku z tym wymaga testowania aplikacji w konkretnym środowisku).
- Wykrywanie zmian w plikach hostów, które mają uprawnienia do przekazywania żądania dostępu do pewnych adresów IP lub stron internetowych innym adresom. Gdy niektóre z tych prób zostaną zauważone, rozpoczyna się kompleksowy proces analizy, który prowadzi do wykrycia pozostałych zagrożeń.
- Skupianie się na ochronie sieci, zabezpieczanie punktów końcowych z poziomu połączenia, nie z poziomu urządzenia.
- Automatyzacja powyższych procesów, która przekłada się na znaczną oszczędność zasobów.
Na czym polega użycie rozwiązań AI w ochronie antywirusowej?
AI w tym kontekście sprowadza się do automatycznego analizowania danych i dostrzegania prawidłowości oraz raportowania zagrożeń i wprowadzania środków zaradczych. Zdaniem ekspertów należy od początku zakładać, że ataki nastąpią i wyrządzą jakąś szkodę. Chodzi o to, by ten negatywny wpływ zminimalizować i żeby radzić sobie z łataniem luk.
Niektóre firmy, jak na przykład G DATA, używają tak zwanych sandboxów – automatycznych systemów analizujących, które przetwarzają próbki złośliwego oprogramowania. Pozyskane właściwości przechowywane są w bazie danych opartej na wykresie, które codziennie wzbogacane są o miliony nowych węzłów i powiązań między nimi. Te działania umożliwiają zdefiniowanie, które kombinacje cech prowadzą do rozpoznania złośliwego oprogramowania. Proces ten wspierany jest przez metody uczenia maszynowego.
Rozwiązania oparte na EDR (Endpoint Detection and Response), które także zaliczane są do grupy AI + AV, koncentrują się na wczesnym wykrywaniu zagrożenia, gdy hakerzy nie dostali się jeszcze do sieci i nie zdążyli dokonać szkód. EDR może funkcjonować tylko we współpracy z innymi aplikacjami antywirusowymi chroniącymi sieć i zasoby organizacji. Jest to pewnego rodzaju ciężkie działo, przeznaczone do zadań specjalnych. Dzięki współpracy z innymi aplikacjami, które przejmują funkcje kontrolne i zapobiegawcze, EDR może skupić się na wyszukiwaniu anomalii i naruszeń bariery bezpieczeństwa.
Nie tylko dla biznesu
W odpowiedzi na zapotrzebowanie rynku powstają również rozwiązania dla użytkowników prywatnych wykorzystujące analogiczną technologię. Są przystosowane do ochrony mniejszych, domowych sieci i odpowiadają na specyficzne potrzeby prywatnego internauty. Podobnie jak w przypadku rozwiązań biznesowych, popularne są usługi dostępne w chmurze.