Vroeger was het eenvoudiger. Wat malwarebestrijding betreft toch. Toen werd nieuwe malware ontdekt, er werd een vingerafdruk van genomen, die werd toegevoegd aan de database van uw anti-malware oplossing en klaar is kees. No harm done, of toch bijna niets.
Veel bestaande pakketten voor malwarebestrijding werken nog steeds op die manier. Alles wat voorbij komt op het netwerk, wordt met de vingerafdrukken in de database vergeleken en op basis daarvan wordt de toegang bepaald. Als het er niet in staat, zal het wel goed zijn. Als het er wel in staat, weet je dat het slecht is en moet je het blokkeren. Het probleem is: de makers van nieuwe malware zorgen dat ze nooit in die database staan. Ze maken oneindig veel mutaties van hun eigen malware die net voldoende verschillen van de vorige om niet door die klassieke aanpak met vingerafdrukken herkend te worden. Zo hollen zulke pakketten voortdurend achter de feiten aan.
Kijk naar het gedrag
Wie in de toekomst nog iets wil betekenen als malwarebestrijder zal dus uit een ander vaatje moeten tappen. Machine learning blijkt op dit moment hiervoor het best beschikbare vaatje. De anti-malware wordt voortdurend intelligenter gemaakt door te leren uit het verleden. Daarbij wordt niet gewoon gekeken naar de vingerafdruk van bestanden, maar eerder naar hun gedrag. Als vanuit een pdf opeens bestanden worden versleuteld, of data worden gekopieerd naar een server in Oost-Europa, is dat geen normaal gedrag. Dan kan de anti-malware oplossing besluiten dat het om malware of besmette bestanden gaat.
Het learning gedeelte betreft dan vooral het bijsturen van de software. Als ‘false positives’ of ‘false negatives’ werden aangetroffen (bestanden die ten onrechte als respectievelijk malware of onschadelijk werden gekwalificeerd), dan kan dit inzicht worden ingevoerd in de oplossing, zodat de anti-malware oplossing bij een volgende vergelijkbare situatie een beter geïnformeerde beslissing kan nemen.
Machine learning ontwikkel je niet op één dag
Machine learning is een krachtige technologie die de toekomst van malwarebestrijding sterk zal veranderen. Maar, zoals het met elke innovatieve technologie gaat: het aantal ‘me too’-schreeuwers is vele malen groter dan het aantal bedrijven met échte machine learning capaciteiten. Hoe kan je het kaf onderscheiden van het koren? Eén redelijk eenvoudige manier is door even te kijken naar de historiek van het bedrijf.
Machine learning bouwen krijg je niet op enkele maanden onder de knie, toch niet de geavanceerde vorm die je in dit geval nodig hebt. Een leverancier die tot voor kort nog niet had gesproken over machine learning, en nu plots met de ultieme technologie komt aandraven, mag zeker met het nodige argwaan bekeken worden. Maar als bijvoorbeeld IBM aankondigt dat het zijn Watson technologie gaat integreren in zijn eigen security-oplossingen, dan weet je dat hier jaren van diepgravend onderzoek aan zijn voorafgegaan.
IBM Watson is een schoolvoorbeeld van wat met machine learning kan worden gerealiseerd. Het is intussen al vele jaren geleden dat deze doos vol artificiële intelligentie ‘Jeopardy’ won van de strafste spelers. Intussen heeft deze intelligente assistent al zijn nut bewezen in verschillende sectoren. In de medische sector bijvoorbeeld slaagt Watson er al in om even goed als de beste specialisten te voorspellen welke zwarte vlekken op de huid zullen uitgroeien tot kwaadaardige melanomen.
Hetzelfde principe van patroonanalyse en -detectie kan dus ook worden toegepast op de bestrijding van malware, en zo de gezondheid van uw ict-infrastructuur helpen behouden. Hiermee bent u beter gewapend tegen het online gevaar van vandaag.
Frank Staut, cto bij SecureLink
