Το Intercept X συνδυάζει την τεχνολογία βαθιάς εκμάθησης (deep learning) με τη καλύτερη στη κλάση της τεχνολογία anti–exploit, και τη τεχνολογία anti-ransomware CryptoGuard, την ανάλυση της αιτίας ενός προβλήματος (root–cause analysis) αλλά και άλλα πολλά που διαμορφώνουν την πλέον ολοκληρωμένη προστασία τερματικών συσκευών που κυκλοφορεί στην αγορά. Αυτός ο μοναδικός συνδυασμός χαρακτηριστικών καθιστά το Intercept X ικανό να εμποδίζει και να σταματάει το πιο ευρύ φάσμα απειλών τερματικών συσκευών σε σχέση με άλλα ανταγωνιστικά προϊόντα.
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
www.nss.gr
Το Intercept X συνδυάζει την τεχνολογία βαθιάς εκμάθησης (deep learning) με τη καλύτερη στη κλάση της τεχνολογία anti-exploit, και τη τεχνολογία anti-ransomware CryptoGuard, την ανάλυση της αιτίας ενός προβλήματος (root-cause analysis) αλλά και άλλα πολλά που διαμορφώνουν την πλέον ολοκληρωμένη προστασία τερματικών συσκευών που κυκλοφορεί στην αγορά. Αυτός ο μοναδικός συνδυασμός χαρακτηριστικών καθιστά το Intercept X ικανό να εμποδίζει και να σταματάει το πιο ευρύ φάσμα απειλών τερματικών συσκευών σε σχέση με άλλα ανταγωνιστικά προϊόντα.
Η τεχνητή νοημοσύνη που ενσωματώνεται στο Intercept X αποτελεί ένα νευρωνικό δίκτυο βαθιάς εκμάθησης, μια προηγμένη μορφή μηχανικής εκμάθησης, που ανιχνεύει τόσο γνωστό όσο και άγνωστο κακόβουλο λογισμικό χωρίς να βασίζεται σε υπογραφές (digital signatures). Η βαθιά εκμάθηση καθιστά το Intercept X περισσότερο ευέλικτο και έξυπνο και περισσότερο αποδοτικό από άλλες λύσεις ασφάλειας που χρησιμοποιούν τη παραδοσιακή μηχανική εκμάθηση ή την ανίχνευση.
Εκμεταλλευόμενο τη καλύτερη στην βιομηχανία μηχανή ανίχνευσης κακόβουλου λογισμικού, το Intercept X είναι σε θέση να προβλέψει κατά πόσο ένα αρχείο είναι κακόβουλο ή δυνητικά ανεπιθύμητο, χωρίς να το έχει ανιχνεύσει στο παρελθόν και χωρίς να είναι απαραίτητο το αρχείο να εκτελεστεί. Η συγκεκριμένη signature-less προσέγγιση έχει ως αποτέλεσμα ακόμα υψηλότερα ποσοστά ανίχνευσης, λιγότερα λανθασμένα ευρήματα (false positives) και δίχως αρνητικές επιπτώσεις στην απόδοση.
Με το Intercept X η προληπτική ή προγνωστική προστασία προωθείται σε απαράμιλλα επίπεδα. Πρόκειται πραγματικά για μία λύση που ισοδυναμεί με “game changer” στην ασφάλεια πληροφορικής σήμερα. Σύμφωνα με τη Sophos, το Intercept X έχει αναπτυχθεί σε περισσότερες από δέκα χιλιάδες τερματικές συσκευές. Από τότε που αναπτύχθηκε έχει καταφέρει να εξουδετερώσει περισσότερες από 2.500 περιπτώσεις ransomware μέσω του υποσυστήματος CryptoGuard που ενσωματώνει.
Μεγάλο μέρος της ασφάλειας στις μέρος μας είναι αυτό που λέμε “reactive” (αντιδραστικό), που είναι μία πολύ αργή μέθοδος. Καθώς ο όγκος και η πολυπλοκότητα των επιθέσεων σε τερματικές συσκευές εξακολουθεί να αναπτύσσεται, οι “κλασικές” προσεγγίσεις παλεύουν να ανταπεξέλθουν στην πρόκληση. Για παράδειγμα, η SophosLabs αναλύει καθημερινά πάνω από 400.000 νέα δείγματα malware. Αυτό που καθιστά ακόμα πιο δύσκολη την αντιμετώπιση αυτής της πρόκλησης, η SophosLabs διαπίστωσε ότι το 75% του κακόβουλου λογισμικού (malware) είναι μοναδικό μέσα σε ένα οργανισμό.
Η βαθιά εκμάθηση (deep learning), μια προηγμένη μορφή μηχανικής εκμάθησης (machine learning), συμβάλλει στην αλλαγή του τρόπου με τον οποίο προσεγγίζουμε την ασφάλεια των τερματικών συσκευών και το Intercept X αποτελεί την αιχμή του δόρατος. Με την ενσωμάτωση της βαθιάς εκμάθησης, το Intercept X αλλάζει την προσέγγιση για την ασφάλεια τερματικών συσκευών από αντιδραστική (reactive) σε προγνωστική (predictive), ώστε να προσφέρει την απαραίτητη προστασία απέναντι στις άγνωστες απειλές.
Ενώ πολλά προϊόντα ισχυρίζονται ότι χρησιμοποιούν μηχανική εκμάθηση, η μηχανική εκμάθηση δεν γίνεται με τον ίδιο τρόπο παντού. Στη Sophos, χρησιμοποιείται βαθιά εκμάθηση για την ανίχνευση κακόβουλου λογισμικού. Η βαθιά εκμάθηση εμπνεύστηκε από τον τρόπο που λειτουργεί ο ανθρώπινος εγκέφαλος και για αυτό το λόγο γίνεται αναφορά σε “νευρωνικά δίκτυα βαθιάς εκμάθησης” ή απλά “νευρωνικά δίκτυα”. Είναι ο ίδιος τύπος μηχανικής εκμάθησης που χρησιμοποιείται συχνά για την αναγνώριση προσώπου, για την επεξεργασία φυσικής γλώσσας, για τα αυτό-οδηγούμενα αυτοκίνητα άλλα και για άλλα προηγμένα πεδία πληροφορικής και έρευνας.
Η βαθιά εκμάθηση έχει ξεπεράσει τα υπόλοιπα μοντέλα μηχανικής εκμάθησης, συμπεριλαμβανομένων του “τυχαίου δάσους” (μέθοδος επιβλεπόμενης μάθησης random forrest για ταξινόμηση δεδομένων), του αλγόριθμου k-means (αλγόριθμο συσταδοποίησης κ-μέσων) ή των Μπεϋζιανών δικτύων (Bayesian) όμως απαιτεί τεράστιες ποσότητες δεδομένων και τεράστια υπολογιστική ισχύ για την οικοδόμηση ενός αποτελεσματικού μοντέλου. Στη Sophos, το παραπάνω απλουστεύτηκε χάρη στις προσπάθειες συλλογής και ανάλυσης κακόβουλου λογισμικού της SophosLabs τα τελευταία 30 χρόνια και στη τηλεμετρία που λαμβάνει η εταιρεία από περισσότερες από 100 εκατομμύρια τερματικές συσκευές σε καθημερινή βάση.
Η βαθιά εκμάθηση της Sophos έχει πολλά γηγενή πλεονεκτήματα σε σύγκριση με άλλους τύπους μηχανικής εκμάθησης που χρησιμοποιούνται συνήθως στην ασφάλεια τερματικών συσκευών:
Εξυπνότερο – Τα μοντέλα βαθιάς εκμάθησης επεξεργάζονται δεδομένα χρησιμοποιώντας πολλαπλά επίπεδα ανάλυσης, ακριβώς όπως συμβαίνει με τους νευρώνες στον ανθρώπινο εγκέφαλο και καθένα από αυτά τα επίπεδα καθιστά το μοντέλο βαθιάς εκμάθησης σημαντικά ισχυρότερο. Έτσι, είναι σε θέση να αναλύει σύνθετες σχέσεις μεταξύ διαφορετικών χαρακτηριστικών εισόδου. Το παραπάνω του επιτρέπει να ανακαλύπτει αυτομάτως τον καλύτερο δυνατό συνδυασμό εισόδων και τον ιδανικό τρόπο διαχείρισής τους, κάτι που σε διαφορετική περίπτωση θα ήταν ανθρωπίνως αδύνατο. Επομένως, το μοντέλο ανίχνευσης κακόβουλου λογισμικού βαθιάς εκμάθησης της Sophos είναι σε θέση να ανιχνεύει κακόβουλο λογισμικό που περνάει απαρατήρητο από τις άλλες μηχανές μηχανικής εκμάθησης.
Περισσότερο επεκτάσιμο (κλιμακούμενο) – Η βαθιά εκμάθηση κλιμακώνεται πολύ έξυπνα σε εκατοντάδες εκατομμύρια δειγμάτων εκμάθησης (training samples). Πρόκειται για κάτι σημαντικό δεδομένου ότι η SophosLabs αναλύει περίπου 2,8 εκατομμύρια νέα δείγματα κακόβουλου λογισμικού (malware) κάθε εβδομάδα. Επειδή είναι σε θέση να καταναλώνει διαρκώς τεράστιες ποσότητες δεδομένων εκμάθησης (training data), το μοντέλο της Sophos μπορεί να απομνημονεύσει ολόκληρο το τοπίο των σημερινών απειλών που παρατηρούνται ως μέρος της διαδικασίας εκμάθησης. Δεδομένου ότι μπορεί να επεξεργαστεί σημαντικά περισσότερες εισόδους, η βαθιά εκμάθηση μπορεί να προβλέψει με μεγαλύτερη ακρίβεια τις απειλές σήμερα ενώ παράλληλα παραμένει ενημερωμένη με την πάροδο του χρόνου.
Ελαφρύτερο –Οι παραδοσιακές προσεγγίσεις μηχανικής μάθησης οδηγούν σε τεράστια σε μέγεθος μοντέλα, τα οποία μερικές φορές μπορούν να καταλάβουν πολλά gigabytes αποθηκευτικού χώρου στο δίσκο. Ωστόσο, η προσέγγιση βαθιάς εκμάθησης της Sophos οδηγεί σε μικρού μεγέθους, εξαιρετικά συμπιεσμένα μοντέλα. Πιο συγκεκριμένα, το μοντέλο βαθιάς εκμάθησης της Sophos είναι απίστευτα μικρό, και καταλαμβάνει λιγότερο από 20MB στη τερματική συσκευή και με σχεδόν μηδενικές επιπτώσεις στην απόδοση.
Έμπειρο –Σε αντίθεση με τον ανταγωνισμό, η Sophos εξειδικεύεται εδώ και πολύ καιρό στη μηχανική εκμάθηση κυβερνοασφάλειας και είχε για πολλά χρόνια τα μοντέλα βαθιάς εκμάθησης της που αφορούν στην ανίχνευση κακόβουλων προγραμμάτων σε παραγωγικά περιβάλλοντα. Το μοντέλο βαθιάς εκμάθησης ανίχνευσης κακόβουλου λογισμικού της Sophos δημιουργήθηκε από την ομάδα επιστημόνων δεδομένων της χρησιμοποιώντας τεχνολογία που προέρχεται από τη DARPA. Το 2010, η Υπηρεσία Προηγμένων Ερευνητικών Αμυντικών Προγραμμάτων των ΗΠΑ (DARPA), δημιούργησε το Πρόγραμμα Cyber Genome για την αποκάλυψη του “DNA” κακόβουλου λογισμικού και άλλων κυβερνοαπειλών. Αυτή είναι και η προέλευση του αλγόριθμου που ενσωματώνεται σήμερα στο Intercept X.
Αποδεδειγμένο –Η Sophos είναι ανοιχτή και διαφανής με τα μοντέλα της. Εκτός από την παρουσίαση των λεπτομερειών στις μεθόδους που χρησιμοποιεί σε συνέδρια όπως στο Black Hat, η Sophos δεν έχει αποφύγει να επιτρέψει στο μοντέλο της να δοκιμαστεί από ανεξάρτητες, τρίτες εταιρείες. Το μοντέλο είναι αποδεδειγμένο στο VirusTotal από τον Αύγουστο του 2016 ενώ έχει λάβει υψηλές βαθμολογίες από δοκιμές άλλων ανεξάρτητων εργαστηρίων και εταιρειών όπως την NSS Labs. Σε όλες τις περιπτώσεις, έχει αποδειχθεί εξαιρετικά αποτελεσματικό, ενώ έχει επιδείξει εξαιρετικά μικρό αριθμό ψευδών θετικών αποτελεσμάτων (false positives).
Αποδοτικό – Η τεχνολογία βαθιάς εκμάθησης της Sophos είναι απίστευτα γρήγορη. Σε λιγότερο από 20 χιλιοστά του δευτερολέπτου, το μοντέλο μπορεί να εξάγει εκατομμύρια χαρακτηριστικά από ένα αρχείο, να πραγματοποιήσει εκ βάθους ανάλυση και να καθορίσει εάν ένα αρχείο είναι κακόβουλο ή όχι. Και όλη η παραπάνω διαδικασία πραγματοποιείται πριν να εκτελεστεί το αρχείο.
SophosLabs –Μία από τις σημαντικότερες πτυχές οποιουδήποτε μοντέλου είναι τα δεδομένα που χρησιμοποιούνται για την διαδικασία εκμάθησής του. Η ομάδα των επιστημόνων ανάλυσης δεδομένων που αποτελούν μέρος της ομάδας της SophosLabs, έχουν πρόσβαση σε εκατοντάδες εκατομμύρια δείγματα. Αυτό τους επιτρέπει να δημιουργήσουν τις καλύτερες δυνατές προβλέψεις στα μοντέλα της εταιρείας. Η συνεργασία μεταξύ των δύο ομάδων επιτρέπει στην καλύτερη επισήμανση-ταξινόμηση των δεδομένων (και επομένως στην ιδανικότερη μοντελοποίηση). Αυτή η αμφίδρομη ανταλλαγή πληροφοριών που αφορούν στις απειλές και η ανατροφοδότηση μεταξύ της ομάδας των επιστημόνων ανάλυσης δεδομένων της SophosLabs και των ερευνητών απειλών βελτιώνει συνεχώς την ακρίβεια των μοντέλων της Sophos.