В последните години антивирусната индустрия се задъхва сериозно в опитите си да се справи с киберпрестъпността и разпространението на зловредния код. Причините за това са много. На първо място, секторът за компютърна сигурност изпитва нарастващ с години глад за експерти. Става дума за изключително сериозен проблем. По информация на Браян Несмит, цитиран от Forbes в материал от миналата година, до 2021 година в сектора ще има 3.5 милиона незаети позиции. Ето за такъв голям проблем става въпрос. Отделно от това, полето, което е нужно да се защитава се разраства с невероятни темпове: Мрежата днес е изключително сложен организъм, неподвластен на организация и контрол, приложенията стават все по-сложни и зависими едно от друго, слабостите в тях се увеличават пропорционално на тяхната сложност и зависимости, а вече и навлязохме в IoT епохата, в която всяка една вещ – от хладилници, тостери, ключалки, детски играчки, че даже и такива за възрастни, имат достъп до Интернет. И всичко това трябва да се защитава и пази. Всекидневно. Ежеминутно. И разбира се имаме един напълно неуправляем вектор за атака – крайния потребител.

Самата антивирусна индустрия сякаш не си помага особено, като все още много такива продукти разчитат основно на остарели механизми, като сигнатурното засичане на заплахите. Но преди няколко години се появиха „нов“ клас продукти. Създателите им ги промотираха с магическата фраза, която днес отваря всички врати – изкуствен интелект. Използвайки методи и алгоритми от областта на машинното обучение, тези компании твърдят, че продуктите им са нещо невиждано и макар и да се появиха техни критици, които да твърдят, че топлата вода вече е открита, този нов клас продукти привлякоха вярна армия от вярващи. Една от тези компании – пионери в AI защитата – са Cylance, които привлякоха скоро след появата си вниманието на BlackBerry, които впоследствие ги придобиха.

Наскоро обаче специалисти от австралийска компания доказаха, че и AI антивирусите не са панацеята, която ще спаси света. А обект на експеримента им е именно антивируса на Cylance.

„AI приложенията в областта на сигурността работят по разбираем начин и са потенциално полезни. Само че и тези приложения предлагат съвсем нов и уникален вектор за атака. По-конкретно, ако наистина успееш да разбереш как работи определен модел и типа характеристики, които използва, за да стигне до дадено решение, вие бихте могли евентуално да го заблудите съществено, създавайки по този начин универсален метод за преодоляване на защитата, която предоставя“, пишат Ади Ашкенази и Шахар Зини от Skylight Cyber.

Те анализират енджина и метода на работа на програмата и по-точно метода на извличане на съдържанието на обектите и забелязват, че програмата е силно зависима от група стрингове, от което и зависи механизма на обучаващия модел и съответно – определянето на една програма за зловредна или не. Продължавайки нататък, те забелязали такава група стрингове, която бива асоциирана с популярна онлайн видеоигра. Опитали се да тестват с цялата група от стрингови обекти и методът им проработил – считаният за преди зловреден файл, сега бил постигнал резултати, сочещи, че той вече не е считан за такъв. Те успели да развият нататък експеримента си, намалявайки общия обем стрингове до едва няколко килобайта. Това, което предстояло ги учудило много. Специалистите отбелязват, че при опитите им да компрометират някой продукт за сигурност, макар и да успяват, то има винаги много условности и зависимости, които трябва да бъдат изпълнени спрямо конкретните файлове и продукти. Но тук случаят не бил такъв. С добавянето на тази малка група стрингове към края на всеки зловреден файл, те получили универсален ключ към компрометирането на защитата на Cylance, подлъгвайки софтуера, че подадения към него зловреден файл е безопасен. И решили да продължат нататък.

Подлагайки на своята методология към десетте най-популярни зловредни програми на 2019, считани преди модификацията от Cylance за твърдо зловредни, след промяната на изпълнимия им файл, рейтингът им се променял на напълно безопасни. Продължавайки нататък, те избрали близо 400 зловредни файла от онлайн хранилища и резултатът не бил по-различен. Нещо повече: налагайки своя „таен сос“ към файловете многократно, нещата ставали и по-зле за Cylance, а в края на тестовете цели 83.59% от 100% зловредните файлове, били маркирани от програмата, като безопасни.

„Винаги сме се удивлявали, когато виждаме ужасът, изписан по лицата на хората, когато им кажеш, че новата защитна играчка, за която са похарчили милиони долари за закупуването и налагането ѝ, може да бъде компрометирана. Същото се отнася и за новите безпогрешни решения, като AI базираната сигурност. Ние обаче не сме изненадани от резултатите и сме убедени, че същия тип процеси могат да бъдат приложени към продуктите и на други AI компании за постигането на сходни резултати. Защо? Компаниите често подхождат към проблема със сигурността едностранчиво. Хакерите обаче не са боксови круши, те отвръщат на удара и ти трябва да си готов да контраатакуваш – с постоянни иновации и увеличавайки цената на потенциалната атака. Концепцията за използването на един статичен модел в продължение на години без да го променяш, може на теория да работи, но хвърлен в бой се проваля. Определено е по-трудно да намериш противоречие в един AI модел, отколкото да победиш обикновена антивирусна сигнатура, но цената да поправиш един счупен модел е не по-евтино“, пишат в заключение авторите на доклада.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за