Machine Learning – o tehnologie necesară împotriva amenințărilor malware
Clienții noștri, dar nu numai, ne întreabă tot mai frecvent dacă utilizăm tehnologiile de Machine Learning (ML) pentru a securiza terminalele împotriva amenințărilor malware. E o întrebare firească – organizațiile au început să audă tot mai des de aplicațiile ML în domeniul securității, în contextul în care volumul amenințărilor crește constant.
Răspunsul nostru la astfel de întrebări este, inevitabil, afirmativ – Cisco integrează de mai mulți ani tehnologii machine learning în soluțiile de securitate. Dar, de fiecare dată, eu și colegii mei subliniem un aspect încă neclar pentru mulți: tehnologiile ML sunt parte integrantă a aplicațiilor de securitate. Folosite izolat nu vă protejează împotriva niciunei amenințări.
Este o precizare necesară, pentru că unele mesaje de marketing se axează doar pe avantajele pe care le oferă ML în obținerea unui randament de securitate superior, generând confuzie.
Pentru a putea evalua corect nivelul de eficacitate, trebuie înțeles din start că soluțiile dedicate protecției terminalelor cataloghează fișierele în trei categorii distincte: cele identificate ca fiind sigure, cele detectate ca nesigure sau recunoscute ca amenințări și fișierele despre care soluția nu are informații suficiente pentru a le încadra într-una din cele două categorii.
Când aplicația de securitate folosește algoritmi ML, trierea se realizează mai rapid și cu o mai mare acuratețe. Pentru aceasta, însă, soluția trebuie să învețe efectiv cum să facă diferențierea, astfel că are nevoie de un volum substanțial de amenințări malware confirmate, cu care modelul ML să fie „antrenat“. Cu cât acest volum este mai mare, acoperind o varietate mai largă de fișiere, cu atât soluția obține scoruri mai bune.
Din acest punct de vedere, avantajele noastre competitive sunt greu de egalat – Talos, organizația Cisco responsabilă cu zona de Security Intelligence, înregistrează zilnic 19,7 miliarde de amenințări, volum din care extrage și analizează peste 1,5 milioane de tipuri unice de malware. Rezultatele obținute alimentează toate modelele ML create de Cisco, ceea ce permite soluțiilor noastre de securitate să recunoască foarte rapid nu doar amenințările existente, ci și noile versiuni de malware dezvoltate pe baza amenințărilor mai vechi. Astfel, reușim să obținem cel mai bun timp de detecție, un nivel de acuratețe net superior și o rată de alerte False positive scăzută.
Chiar dacă avem rezultate excelente, ML rămâne pentru noi doar o parte integrantă a soluțiilor noastre de securitate. Doar Machine Learning nu este de ajuns pentru a asigura o protecție reală, pentru că întotdeauna va exista riscul apariției unei noi amenințări, pe care aplicația nu a învățat-o sau pe care modelul ML dezvoltat nu-l acoperă (cum este cazul atacurilor Fileless, de exemplu). Iar atunci când o astfel de amenințare reușește să treacă de sistemul dvs. de securitate, modelele ML nu vă mai sunt de niciun folos.
De aceea, soluția noastră Cisco Advanced Malware Protection (care recent a primit certificarea Miercom Performance Verified) este concepută astfel încât să asigure protecția terminalelor pe mai multe niveluri. Cisco AMP integrează mai multe tehnologii complementare, care monitorizează și evaluează comportamentul fișierelor, blocând orice proces care nu este legitim sau care nu este executat de către un fișier. În paralel, motorul Cisco de prevenire și analiză a exploit-urilor controlează tot ce rulează în memorie pentru a verifica dacă aplicațiile și procesele legitime nu sunt utilizate de către programele malware.
Cisco AMP integrează unitar toate aceste tehnologii, pe care le puteți testa aici.
Tags:
