Cum funcționează antivirușii: secretul e colaborarea om – mașină

Majoritatea proceselor de detecție a programelor malware sunt automatizate, dar te-ai întrebat vreodată cum lucrează, efectiv?

La noi, de exemplu, aproximativ 99,9% din procesul de detecție este automatizat, dar fără să piardă contactul cu factorul uman. Ideea este că tehnologiile noi de detecție se bazează atât pe machine learning și big data, cât și pe factorul uman. E vorba de conceptul HuMachine.

Dacă acum 20 de ani, amenințările cibernetice erau „primitive”, ușor de detectat și de neutralizat dintr-o singură comandă, acum vorbim de programe malware care pot opri activitatea unei companii sau a unei centrale electrice. Evident, tehnologiile de protecție au evoluat și ele pentru a ține astfel de programe la distanță.

În condițiile în care viața noastră depinde de tehnologie, securitatea cibernetică este cu atât mai importantă. Riscurile sunt la tot pasul. De la a-ți ataca cineva PC-ul, laptopul, telefonul sau tableta, până la a viza banca unde îți ții banii, magazinele online de unde cumperi, fabrica de conserve sau, mult mai rău, furnizorii de servicii vitale precum sănătatea sau alimentarea cu apă sau energie electrică.

Inteligența umană încă nu poate fi replicată sau înlocuită

Soluțiile de protecție trebuie să apeleze la cele mai noi tehnologii, dar și la inteligența umană. Algoritmii de tip machine learning trebuie să se îmbine cu munca facută de cercetători, pentru a obține o protecție cu adevărat eficientă.

Să le luăm pe rând:

Big data se referă la mai multe tehnologii care permit procesarea rapidă a unor volume uriașe de date, pentru a extrage informații despre amenințări. De fapt, toate informațiile sunt păstrate: despre obiecte periculoase, „curate” sau despre unele potențial utilizabile în mod rău intenționat. Prin compararea descoperirilor recente cu colecția de obiecte malware este posibilă o detecție corectă.

Nu în ultimul rând, big data se referă și la diverse instrumente de clasificare, cu ajutorul cărora sunt procesate datele.

Algoritmii de învățare automatizată sunt folosiți cu mai multe scopuri. Zilnic trebuie să procesăm zeci de mii de solicitări de analiză, ceea ce necesită un verdict cât mai rapid, acest lucru ar fi imposibil fără automatizare. Sistemul acesta nu este recent, ci are o vechime de peste 10 ani, timp în care factorul uman a intervenit, perfecționându-l.

Primul pas a fost ca sistemul să înțeleagă dacă un fișier suspect seamănă cu unul malware, disponibil  deja în baza de date, dar tot analiștii reprezentau factorul decizional final. Ulterior, a devenit evidentă nevoia de o tehnologie care să permită sistemului să dea singur un verdict, iar soluția dezvoltată a fost una bazată pe arbori decizionali.

Printre factorii de decizie se numără următoarele întrebări: dacă un fișier are peste 100 kilobytes, dacă este comprimat, dacă denumirile din structura executabilului par similare cu ceva ales de o persoană reală sau nu. După ce răspunde la aceste întrebări și la multe altele, modelul de inteligență artificială dă verdictul dacă fișierul este „curat” sau „periculos”.

Modelele noastre matematice sunt folosite și pentru detecția dinamică, analizând comportamentul unui fișier executabil chiar în momentul în care este pus în executare. Decizia trebuie luată foarte repede, pe baza unui minimum de informații, deoarece nu ne permitem să așteptăm o perioadă îndelungată de timp.

La noi, principiul de bază este că o persoană va fi mai deșteaptă decât un model matematic, indiferent cât de bun este acesta. El trebuie să poată fi îmbunătățit și supravegheat de un om. Atunci când se întâmplă ca sistemul să nu poată da un verdict clar sau nu îl poate asocia cu o familie malware cunoscută, apelează la un analist, care va lua decizia finală.

În fine, când lucrurile se complică și mai mult, intră în scenă echipa GReAT, din care fac parte și eu. Pentru APT-uri, campanii de spionaj cibernetic, atacuri ransomware majore și pentru evidențierea tendințelor în materie de infracționalitate cibernetică la nivel global.

Dan Demeter
Articol scris de
Demeter Dan
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Comentarii
Dan Demeter
13:08 / 26.11.2017