Beheer

Security
Doorbraak

Antivirus heeft geen antwoord op AI

Kunstmatige intelligentie zet cybercriminelen verder op voorsprong.

© Shutterstock
4 augustus 2017

Kunstmatige intelligentie zet cybercriminelen verder op voorsprong.

Leveranciers van beveiligingssoftware moeten aan de bak. Kunstmatige intelligentie ondermijnt de verdedigingslinie die gevormd wordt virus- en malwaresignalering.

Dat bleek eerder deze week op de beveiligingsconferentie DefCon. Hyrum Anderson van Endgame liet daar zien, hoe je met AI-technieken kunt uitvogelen waar antivirussoftware precies op let, bij het opsporen van virussen en andere malware. Dat blijkt de kwetsbare onderbuik van deze beveiligingstechniek.

Anderson en zijn collega's maakten gebruik van het OpenAI-raamwerk van Elon Musk om een systeem te bouwen dat op zoek ging naar deze zwakke plek in antivirussoftware. Dat deden ze door voortdurend licht gewijzigde varianten van malware op antivirussoftware af te vuren en met behulp van machineleertechnieken conclusies te trekken uit de reacties van de AV-software daarop.

Binnen 1 dag volle gereedschapskist

Het resultaat stemt tot nadenken. 15 uur en 100.000 pogingen verder hadden Anderson c.s. hun software voldoende aangepast om antivirusproducten te omzeilen. Dat gold ook voor antivirussoftware die zelf gebruik maakte van kunstmatig intelligente technieken. Bij 16 procent van de pogingen slaagden ze erin hun aangepaste malware door de AV-verdedigingslinie te loodsen en zichzelf operationeel te laten maken op de doelmachine.

Het is zeker niet de eerste keer dat twijfel wordt gezaaid aan het nut van antivirussoftware. In het verleden constateerden verschillende onderzoekers al dat antivirussoftware een computer geen onneembare vesting maakt voor malwareschrijvers. Anderzijds blijkt ook steeds weer dat het niet-installeren van antivirussoftware geen verstandige reactie is op deze constatering. Zonder antivirussoftware maak je het cybercriminelen wel erg makkelijk, en dat scheelt echt een factor 5 tot 15 in de kans op besmetting met narigheid - afhankelijk van het veiligheidsniveau in je besturingssysteem.

Antivirus ernstig verzwakt

De constatering van Anderson en collega's van Endgame verzwakt uit antivirussoftware opgebouwde verdedigingslinies echter wel aanmerkelijk. De beveiligingssoftware automatisch laten onderzoeken op zwakke plekken die voor  het menselijk oog niet zo snel waarneembaar zijn, verandert de verhoudingen tussen criminelen en beveiligers ingrijpend - in het nadeel van de laatsten.

Er past wel een kanttekening bij deze vaststelling. Het onderzoek van Endgame was niet van eigenbelang ontbloot. Endgame is één van de vrij jonge bedrijven in de markt die beveiliging van de 'endpoints' in het netwerk op nieuwe leest willen schoeien. Daar staat tegenover dat iedereen het werk van Anderson c.s. kunnen controleren. De software is gepubliceerd op Github. Dus bang om te laten zien waarop de aantijgingen berusten is Endgame niet.

De bevindingen moeten in ieder geval aanleiding zijn om de eigen beveiligingsmaatregelen nog eens kritisch tegen het licht te houden. Behalve antimalwareproducten zal men daarbij ook moeten kijken naar technieken als blacklisting, whitelisting en isolatie van de cruciale bedrijfssystemen van rechtstreekse toegang door de boze buitenwereld.

Nieuwe technieken schieten te hulp

Voor dat laatste kan men terecht bij bedrijven als Bromium en Invincea. Bromium creëert micro-virtuele machines wanneer gebruikers informatie van onbekende bronnen aanboren om eventueel ongewenst gedrag te constateren voordat het het netwerk of andere delen van het doelsysteem op kan. Invincea - sinds kort onderdeel van Sophos - hanteert een vergelijkbare techniek, en heeft daar sinds kort ook machineleretechnieken aan toegevoegd om afwijkend gedrag dat op malware duidt op te sporen.

Die laatste verdedigingslijn staat ook centraal bij bedrijven als Deep Insight, Endgame en Jask, waar monitoring van het gedrag van de componenten van het bedrijfsnetwerk - al of niet met aparte sensoren - en het vervolgens bliksemsnel op kunstmatig intelligente wijze trekken van conclusies over de toelaatbaarheid van dat gedrag een belangrijker, en volgens eerste tests effectievere rol gaat spelen in het afweren van kwaadaardige opzetjes.

Een andere partijen die zwaar inzet op deep learning en kunstmatige intelligentie om zijn systemen minder kwetsbaar te maken is Microsoft. Zijn Windows Defender Advance Threat Protection wordt in de komende update van Windows 10 versterkt met AI-technieken die afwijkend gedrag vroegtijdig moeten kunnen opsporen en neutraliseren. Maar dan moet je dus wel op de courante versie van Windows 10 zitten. En het is alleen beschikbaar in de pc- en servervarianten voor de zakelijke markt.

 

 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.