După nenumărate lupte cu hackerii black-hat de-a lungul a zeci de ani, se deprind multe învațături. Evident ei sunt baieți răi cărora le place să exploateze codul. Dar, cel mai important, ei învață în continuu și trebuie lucrat atent pentru a menține pasul cu aceștia, dacă cineva își propune să protejeze permanent afacerile clienților săi.

Acum, dacă am fi un vânzător de soluții de securitate post-adevăr (așa numitele next-gen), am vorbi foarte mult despre modul în care învățarea automatizată ne face potriviți pentru această luptă sau cum matematica poate prezice fiecare mișcare a atacatorului. De asemenea, am încerca destul de des să atenuăm faptul că și tehnologiile avansate pot fi păcălite de adversari.

Dar la ESET, prețuim adevărul. Indiferent de cât de inteligent poate fi un algoritm de învățare mecanică, acesta are o zonă de concentrare îngustă și învață dintr-un anumit set de date. În schimb, atacatorii posedă așa-numita inteligență generală și sunt capabili să gândească out of the box. Aceștia pot învăța din context și pot beneficia de inspirație, pe care nici o mașină sau vreun algoritm nu o pot prezice.

Luați autovehiculele ca un exemplu. Aceste mașini inteligente învață să conducă într-un mediu cu semne rutiere și reguli prestabilite. Dar dacă cineva acoperă toate semnele sau le manipulează? Fără o astfel de componentă vitală, mașinile încep să ia decizii greșite, care se pot încheia într-un accident fatal sau pur și simplu imobilizează autovehiculul.

În spațiul cibernetic, autorii de malware se specializează în astfel de comportamente dăunătoare. Ei încearcă să ascundă adevăratul scop al codului lor, "acoperindu-l" cu obfuscare sau criptare. În cazul în care algoritmul nu poate privi în spatele acestei măști, poate lua o decizie greșită, etichetând un element malițios ca fiind curat - provocând astfel o potențială ratare periculoasă în detecție.

Cu toate acestea, recunoașterea măștii nu dezvăluie întotdeauna natura reală a codului și fără executarea eșantionului nu există nici o modalitate de a ști ce este "sub capotă". Pentru a face acest lucru, ESET folosește un mediu simulat - cunoscut sub numele de sandboxing - depreciat de mulți dintre vânzătorii post-adevăr. Ei pretind că tehnologia lor poate recunoaște elementele malițioase pur și simplu, uitându-se la o probă și făcând "matematica".

Cum ar funcționa acest lucru în viața reală? Încercați și determinați prețul unei case doar dacă vă uitați la o imagine a acesteia. Puteți utiliza anumite funcții, cum ar fi numărul de ferestre sau podelele pentru a obține o estimare brută. Dar fără a ști unde se află casa, ce este în interior și alte detalii, există o mare probabilitate de eroare.

Mai mult decât atât, matematica în sine contrazice aceste afirmații post-adevăr - prin referire la ceea ce este cunoscut ca fiind o "problemă nedeterminabilă", adică determinarea dacă un program se va comporta în mod malițios în funcție de aspectul exterior - așa cum demonstrează omul de știință în domeniul calculatoarelor care a formulat definiția virusului de calculator, Fred Cohen. În plus, în ceea ce privește securitatea informatică, unele probleme necesită atât de multă capacitate de calcul sau consumă mult timp, încât chiar și un algoritm de învățare mecanică ar fi ineficient în rezolvarea lor - făcându-le practic nedeclarate.

Acum puneți toate aceste informații într-o ecuație cu un adversar inteligent și dinamic care are drept scop infectarea endpoit-urilor dvs.

ESET are o experiență considerabilă în lupta cu astfel de adversari inteligenți și știe că numai învățarea automată nu este suficientă pentru a proteja endpoint-urile. Folosim această tehnologie de ani de zile și am adaptat-o ​​pentru a lucra cu o varietate de alte straturi de protecție care sunt sub capota soluțiilor noastre de securitate.

Mai mult, cercetătorii noștri anti-malware supraveghează constant "mașina" pentru a evita erorile inutile de-a lungul drumului, asigurând că detecția funcționează fără probleme, fără a perturba clienții business ESET cu alerte fals pozitive.

ONDREJ KUBOVIČ

CORESPONDENT INDEPENDENT