Έναρξη

Η τεχνητή νοημοσύνη προστατεύει από κακόβουλο λογισμικό

Η τεχνητή νοημοσύνη προστατεύει από κακόβουλο λογισμικό

Για βιαστικούς αναγνώστες

  • Στη σύγχρονη προστασία τελικών συσκευών, η μηχανική μάθηση ανιχνεύει ύποπτα μοτίβα συμπεριφοράς που υποδεικνύουν κακή χρήση ή κακόβουλο λογισμικό.
  • Αυτή η δυναμική προστασία από νέες απειλές συμπληρώνει τη στατική προστασία, η οποία αναγνωρίζει το κακόβουλο λογισμικό με βάση τα γνωστά αποτυπώματά του (υπογραφή).
  • Η μηχανική μάθηση χρησιμοποιείται επίσης για τη συνεχή παρακολούθηση της συμπεριφοράς των χρηστών και τον εντοπισμό επιθέσεων με βάση αυτή και στη συνέχεια την εξάλειψη της αιτίας και των αποτελεσμάτων τους.
  • Η αποτελεσματική προστασία της τελικής συσκευής απαιτεί αυτοπροσαρμοζόμενο λογισμικό που εντοπίζει αξιόπιστα νέους τύπους απειλών και δρομολογεί τα κατάλληλα μέτρα.

Συμβουλή για να δοκιμάσετε

Αν θέλετε μια εξαιρετική εισαγωγή στα γλωσσικά μοντέλα (LLM), τα οποία χρησιμοποιούνται για την ανάλυση κακόβουλου λογισμικού σε σενάρια PowerShell, μεταξύ άλλων, θα πρέπει να παρακολουθήσετε το ακόλουθο βίντεο διάρκειας μίας ώρας από τον Andrej Karpathy. Σχεδόν κάθε πτυχή της Γενετικής Τεχνητής Νοημοσύνης και των LLM καλύπτεται και απεικονίζεται με συγκεκριμένα παραδείγματα. Δεν παραμελείται ούτε το θέμα της ασφάλειας. Ένα "must-read" για κάθε λάτρη της τεχνητής νοημοσύνης με μια κλίση προς την τεχνολογία.

Η δυναμική του ML

Οι κλασικοί σαρωτές ιών και τα προγράμματα ανίχνευσης κακόβουλου λογισμικού λειτουργούν με τη λεγόμενη αναγνώριση υπογραφών: Ο σαρωτής ιών προσπαθεί να αντιστοιχίσει γνωστές αλληλουχίες bytes σε έναν ιό, προκειμένου να απομονώσει στη συνέχεια αυτό το μολυσμένο αρχείο.

Ωστόσο, αυτό έχει το μειονέκτημα ότι το κακόβουλο λογισμικό πρέπει να είναι γνωστό στον σαρωτή. Επιπλέον, οι πολυμήχανοι προγραμματιστές κακόβουλου λογισμικού μπορούν εύκολα να αλλάξουν την υπογραφή ξανά και ξανά, ώστε ο σαρωτής να μην λειτουργεί - ένα παιχνίδι γάτας και ποντικιού.

Συνεπώς, η σύγχρονη προστασία των τελικών σημείων βασίζεται σε μηχανισμούς τεχνητής νοημοσύνης, πιο συγκεκριμένα στη μηχανική μάθηση, κατά την οποία το λογισμικό προστασίας παρατηρεί όλες τις διαδικασίες του προγράμματος και αντλεί αυτόματα πρότυπα για τον εντοπισμό ανωμαλιών. Τέτοιες ανωμαλίες μπορεί να είναι ύποπτα σημεία κλήσης Wi-Fi, νέοι λογαριασμοί χρηστών με υψηλά επίπεδα εξουσιοδότησης, προσπάθειες μείωσης των επιπέδων ασφαλείας στον υπολογιστή, προσπάθειες προώθησης δεδομένων σε κακόβουλες διευθύνσεις IP ή ύποπτα μοτίβα στην κυκλοφορία του δικτύου.

Το "Behavioural ML" - επίσης γνωστό ως UEBA για την ανάλυση της συμπεριφοράς των χρηστών και των οντοτήτων - κινείται προς την ίδια κατεύθυνση δίνοντας μεγαλύτερη προσοχή στη συμπεριφορά των χρηστών, για παράδειγμα: Εάν ένας χρήστης προσπαθήσει ξαφνικά να ανοίξει αρχεία στα οποία δεν έχει πρόσβαση.

Εάν εντοπιστεί ύποπτη συμπεριφορά με αυτόν τον τρόπο, το λογισμικό προστασίας ενεργοποιεί συναγερμό.

Το προστατευτικό χέρι

Εάν εμφανιστεί μια απειλή ή ακόμη και μια επίθεση, χρησιμοποιείται επίσης η μηχανική μάθηση. Για παράδειγμα, το κορυφαίο λογισμικό προστασίας τελικών σημείων CrowdStrike προσπαθεί όχι μόνο να αναγνωρίσει το κακόβουλο λογισμικό σε πρώιμο στάδιο, αλλά και να εντοπίσει την αιτία του και να κάνει προτάσεις για την αφαίρεσή του.

Οι αλγόριθμοι τεχνητής νοημοσύνης χρησιμοποιούνται επίσης για τον εντοπισμό τροποποιημένων υπογραφών κακόβουλου λογισμικού που διαφορετικά θα περνούσαν απαρατήρητες. Το κακόβουλο λογισμικό που δεν διαθέτει υπογραφή εντοπίζεται επίσης λόγω της εμφανούς συμπεριφοράς του - π.χ. όταν επιχειρεί να παρακάμψει μηχανισμούς ασφαλείας.

Για να αποφύγει την επανεφεύρεση του τροχού, η CrowdStrike αντλεί από διάφορες πηγές, οι οποίες συνδυάζονται για την περαιτέρω εκπαίδευση και βελτίωση των δικών της μοντέλων ML. Εξάλλου, η αποτελεσματική προστασία από το κακόβουλο λογισμικό είναι μια συνεχής μάχη κατά του "κακού". Μια στασιμότητα οδηγεί τακτικά σε πρόβλημα και ήττα σε αυτή τη "μάχη".

Παράδειγμα: Εκμετάλλευση μηδενικής ημέρας

Θέλουμε να χρησιμοποιήσουμε ένα παράδειγμα για να δείξουμε πώς λειτουργεί η τεχνητή νοημοσύνη στο CrowdStrike. Για το σκοπό αυτό επιλέξαμε τα φοβερά exploits μηδενικής ημέρας. Δεν υπάρχει καμία θεραπεία για αυτά τα exploits, ακόμη και αν έχουν ανακαλυφθεί. Μόνο η πλήρης εξάλειψη της ευπάθειας μπορεί να λύσει το πρόβλημα. Έχουμεήδη αναφερθεί σε αυτόμε περισσότερες λεπτομέρειες στη διεύθυνση . Πώς το αντιμετωπίζει αυτό η CrowdStrike;

  1. Ένας συγγραφέας κακόβουλου λογισμικού δημιουργεί ένα νέο κακόβουλο λογισμικό και το τροποποιεί για να παρακάμψει την ανίχνευση βάσει υπογραφής. Στη συνέχεια, ο συγγραφέας του κακόβουλου λογισμικού δημοσιεύει το κακόβουλο λογισμικό στο Διαδίκτυο, όπου το συναντούν τα θύματά του.
  2. Οι σαρωτές κακόβουλου λογισμικού που βασίζονται σε υπογραφές δεν είναι σε θέση να ανιχνεύσουν το νέο κακόβουλο λογισμικό, επειδή δεν έχουν την υπογραφή του κακόβουλου λογισμικού στη βάση δεδομένων τους. Ωστόσο, τα μοντέλα ML της CrowdStrike είναι σε θέση να ανιχνεύσουν το νέο κακόβουλο λογισμικό επειδή έχουν εκπαιδευτεί σε ένα τεράστιο σύνολο δεδομένων με γνωστές υπογραφές κακόβουλου λογισμικού, συμπεριλαμβανομένων υπογραφών που έχουν τροποποιηθεί για να αποφύγουν την παραδοσιακή ανίχνευση με βάση την υπογραφή. Έχουν μάθει τη συμπεριφορά των προγραμματιστών κακόβουλου λογισμικού για την απόκρυψη των υπογραφών και τη χρησιμοποιούν για τον εντοπισμό.
  3. Επιπλέον, η ανάλυση συμπεριφοράς της CrowdStrike είναι σε θέση να ανιχνεύσει το νέο κακόβουλο λογισμικό επισημαίνοντας την ύποπτη συμπεριφορά του, όπως προσπάθειες πρόσβασης σε ευαίσθητα δεδομένα ή απενεργοποίησης των ελέγχων ασφαλείας.
  4. Τέλος, η υπηρεσία πληροφοριών απειλών της CrowdStrike μπορεί να ανιχνεύσει το νέο κακόβουλο λογισμικό επειδή η CrowdStrike συλλέγει και αναλύει πληροφορίες απειλών από διάφορες πηγές, συμπεριλαμβανομένων των πελατών της, των υπηρεσιών επιβολής του νόμου και άλλων προμηθευτών ασφάλειας. Αυτές οι πληροφορίες απειλών περιέχουν πληροφορίες σχετικά με νέες παραλλαγές κακόβουλου λογισμικού και τεχνικές αποφυγής. Στη συνέχεια, η CrowdStrike χρησιμοποιεί αυτές τις πληροφορίες για να ενημερώνει τα μοντέλα ML και τους κανόνες ανίχνευσης.

Με αυτόν τον τρόπο, η CrowdStrike χρησιμοποιεί AI/ML σε συνδυασμό μέτρων και πηγών για να εντοπίζει όσο το δυνατόν πιο αξιόπιστα τα zero-day exploits - ακόμη και αν είναι καινούργια.

Παράδειγμα: PowerShell

Το PowerShell, το οποίο είναι δημοφιλές και πολύ ισχυρό στα Windows, χρησιμοποιείται επίσης συχνά από χάκερ για να διεισδύσουν σε εταιρείες με κακόβουλο λογισμικό. Εδώ χρησιμοποιούνται μοντέλα βαθιάς μάθησης, τα οποία αναλύουν τον πηγαίο κώδικα του επιτιθέμενου και τον ανιχνεύουν ανάλογα.

  1. Τα μοντέλα βαθιάς μάθησης χρησιμοποιούνται για την αυτόματη εξαγωγή των πιο σημαντικών τμημάτων κώδικα από σενάρια PowerShell.
  2. Η τεχνητή νοημοσύνη αναλύει τα τμήματα κώδικα που εξάγονται για να εντοπίσει κακόβουλες ροές κώδικα.
  3. Η τεχνητή νοημοσύνη συγκρίνει τη λογική του κώδικα με μια βάση δεδομένων γνωστών κακόβουλων και καλοήθων σεναρίων PowerShell.
  4. Εάν η τεχνητή νοημοσύνη αναγνωρίσει λογική κακόβουλου κώδικα, παράγει μια προειδοποίηση.

Χωρίς τεχνητή νοημοσύνη, θα είναι δύσκολο να αποτραπούν οι απειλές από το διαδίκτυο. Για το λόγο αυτό, είναι σημαντικό να κατανοήσετε πώς λειτουργεί το λογισμικό ασφαλείας που χρησιμοποιείται στην εταιρεία σας.

Όσοι κάνουν τις σωστές ερωτήσεις έχουν σαφές πλεονέκτημα.

Σχετικά με την Business Automatica GmbH:

Το Business Automatica μειώνει το κόστος των διαδικασιών με την αυτοματοποίηση των χειροκίνητων δραστηριοτήτων, αυξάνει την ποιότητα της ανταλλαγής δεδομένων σε πολύπλοκες αρχιτεκτονικές συστημάτων και συνδέει τα συστήματα που βρίσκονται σε τοπικό επίπεδο με σύγχρονες αρχιτεκτονικές cloud και SaaS. Η εφαρμοσμένη τεχνητή νοημοσύνη στην εταιρεία αποτελεί αναπόσπαστο μέρος αυτού. Η Business Automatica προσφέρει επίσης λύσεις αυτοματοποίησης από το cloud που είναι προσανατολισμένες στην ασφάλεια στον κυβερνοχώρο.