HotNews informeaza: Cum anihileaza inteligenta artificiala tentativele de spionaj cibernetic. Amenintarile avansate persistente (APT) reprezinta cel mai grav risc de securitate la adresa securitatii companiilor, paralizand afaceri si distrugand cariere in domeniul IT prin brese de securitate costisitoare ce provoaca pagube majore. Amenintarile APT ocolesc sistemele de securitate traditionale si fura informatii confidentiale fara sa lase urme.

- Ne confruntam cu astfel de dusmani de ani de zile, uneori fara sa ne dam seama impotriva cui luptam de fapt. S-a intamplat recent cu proiectul Sauron, una dintre cele mai sofisticate amenintari cibernetice dezvoltate tocmai ca sa sustraga date din calculatoarele a 30 de organizatii folosind instrumente nedescoperite pana atunci -guverne, companii de telecomunicatii, institutii financiare si de cercetare, spune Dragos Gavrilut, antimalware research manager la Bitdefender si lector la Universitatea Alexandru Ioan Cuza din Iasi.
Gavrilut spune ca Bitdefender detecteaza de mai bine de sapte ani componente imprevizibile din codul periculos care compune aceste amenintari, cu ajutorul algoritmilor de inteligenta artificiala integrati in solutiile de securitate. Dat fiind ca sistemele trebuie sa analizeze mii de fisiere in fiecare zi, este uneori dificil sa intuiasca magnitudinea unei amenintari.

Mai multi algoritmi, mai multa acuratete

Amenintarile avansate persistente difera fata de alte tipuri de virusi prin faptul ca sunt construite de atacatori profesionisti cu scopul de a evita detectia de catre solutiile de securitate ce protejeaza infrastructurile vizate de atac. Asadar, pentru a asigura rate mai mari de detectie, producatorii de solutii de securitate opteaza pentru corelarea rezultatelor din algoritmi multipli. Spre deosebire de folosirea unei singure tehnologii, aceasta strategie este eficienta in contracararea APT-urilor, intrucat ingreuneaza incercarile amenintarilor tintite de a evita detectia. Bitdefender a antrenat algoritmi de ani buni, printre care Perceptrons, Neural Networks, Centroids, Binary Decision Tree si Deep Learning. Unii sunt specializati in diferite familii de malware, altii in gasirea de mostre noi de fisiere periculoase, insa exista si algoritmi conceputi sa reduca numarul alarmelor false. Ei se completeaza unul pe celalalt pentru a detecta codul periculos, in paralel cu detectia bazata pe semnaturi si alte metode de cercetare traditionale.
- Ne-am dat seama ca o singura tehnologie nu va rezolva toate problemele, dar mai multe, puse la un loc, ar putea rezolva majoritatea situatiilor ce pot aparea. Lucrand impreuna, algoritmii reusesc sa sa obtina o rata de detectie imbunatatita a amenintarilor noi si necunoscute, explica Dragos Gavrilut.

Detectia traficului suspect din retea

Identificarea atacurilor de tip zero-day (amenintari necunoscute si exploatate de atacatori fara restrictii pana la descoperirea acestora) pleaca de la prezumtia ca activitatea pe o statie de lucru dintr-un mediu corporativ ar trebui sa aiba un comportament predictibil. Inteligenta artificiala poate procesa datele de la milioane de surse in fiecare minut si poate stabili un mod de functionare normal, comparandu-l apoi cu felul in care s-a comportat in trecut si identificand anomaliile. Folosind aceasta tehnologie, tranzactiile, procesele desfasurate pe servere, traficul de internet, logarile la sistem pot fi analizate pentru a gasi modalitati de functionare anormale.

Retele neuronale care filtreaza URL-uri

Software-ul periculos are abilitatea de a se ascunde in multiplele straturi din reteaua unei companii. Una dintre solutiile care pot bloca atacurile avansate persistente este folosirea de filtre URL. Cum un link periculos care vizeaza o victima anume este disponibil doar pentru cateva minute, metoda este eficienta doar daca foloseste cloud-ul pentru a interzice accesul celor din companie pe acel link cat mai repede posibil. Mai mult, tehnici sofisticate de pacalire a acestor metode de detectie au redus eficienta semnaturilor traditionale si au creat nevoia unor mecanisme mai rapide si mai complexe de blocare a acestora.

Sortarea e-mail-urilor de tip spam

- APT-urile profita de vulnerabilitatile necunoscute de tip zero-day din aplicatiile frecvent folosite. In majoritatea timpului, utilizatorul este indemnat sa viziteze pagini cu continut periculos sau sa deschida un document infectat trimis prin e-mail. De aceea, identificarea e-mail-urilor ce contin fisiere infectate este fundamentala in securitatea cibernetica, mai spune Dragos Gavrilut.
Algoritmii de inteligenta artificiala pot depista daca e-mail-urile sunt sau nu spam pe baza unor reguli pe care le invata din mostre preclasificate. Filtrele folosite pentru analizarea acestor date (adrese IP, subiectul e-mail-ului, continutul mesajului, link-uri inserate, numere de telefon, imagini, fisiere atasate, diverse alte â€"amprente - specifice) interactioneaza unul cu celalalt pentru a acoperi anumite scenarii si variante din valuri de spam deja detectate.

Identificare de fisiere periculoase

Uneori, programul periculos ajunge pe un dispozitiv printr-un fisier de tip PDF inserat intr-un JavaScript. In acest fel, codul poate fi executat pe computere evitand metodele de protectie existente. JavaScript creeaza un cadru perfect pentru a livra amenintari avansate persistente, fiind un limbaj polimorfic (doua fisiere pot avea aceleasi functionalitati, dar pot arata foarte diferit). Inteligenta artificiala reduce semnificativ volumele de munca ale analistilor de malware, iar tehnologia din spatele acestor algoritmi se adapteaza constant la evolutia vectorilor de atac. Cu toate acestea, inteligenta artificiala nu va inlocui specialistii in securitate cibernetica prea curand, rolul lor fiind esential in asigurarea unei detectii cat mai apropiate de 100%.