Прогнозувальний AI для кібербезпеки. Що взагалі працює і як це зрозуміти


Результат — ось що дійсно має значення, коли йдеться про штучний інтелект (AI) в кібербезпеці.
Доступ до генеративного AI є не лише у спеціалістів з безпеки, а й у кіберзлочинців. Тому ландшафт загроз змінюється, а потреба в оцінці відносної ефективності рішень для кібербезпеки на основі AI стає все важливішою і більш комплексною.
Правильні запитання допоможуть вам знайти рішення, які принесуть користь і окупність інвестицій, а не просто маркетинговий хайп. Наприклад, “Чи можуть ваші прогнозувальні/предиктивні AI-інструменти достатньою мірою блокувати нові загрози?” І “Що насправді свідчить про успіх платформи кібербезпеки на основі штучного інтелекту?”
Як свідчить портфель патентів BlackBerry у сфері AI та ML (машинного навчання), компанія є лідером у цій галузі та має надзвичайно обґрунтовану

Розвиток AI в кібербезпеці

Одне з перших застосувань ML та AI в кібербезпеці сягає часів розробки платформи для захисту кінцевих точок CylancePROTECT® EPP (endpoint protection platform) понад десять років тому. Однак прогнозування та запобігання новим атакам шкідливого програмного забезпечення є, мабуть, більш важливим сьогодні, оскільки генеративний AI допомагає зловмисникам швидко писати та тестувати новий код. Останній звіт BlackBerry Global Threat Intelligence Report показав, що кількість нових атак зловмисного ПЗ зросла на 13% порівняно з попереднім кварталом. Запобігання цим атакам є постійним викликом, проте еволюція атак відповідає еволюції технологій.
Команди BlackBerry, що займаються наукою про дані та машинним навчанням, постійно покращують продуктивність та ефективність моделей для предиктивних інструментів штучного інтелекту. Нещодавні сторонні тести показали, що CylanceENDPOINT® блокує 98,9% усіх загроз, оскільки він може активно прогнозувати поведінку шкідливого програмного забезпечення, навіть якщо це абсолютно новий варіант. Досягти такого рівня ефективності складно, і це вимагає точного навчання моделі на правильному типі індикаторів.
Впродовж останнього десятиліття BlackBerry постійно впроваджує інновації, експериментує та вдосконалює AI. Компанія досягла багатьох позитивних змін, включно з переходом від контрольованого маркування людиною в ранніх моделях до комбінованого підходу до навчання, що передбачає неконтрольоване, контрольоване та активне навчання — як у хмарі, так і локально на кінцевих точках, які потребують захисту. Вендор також оптимізував атрибути та набори даних, які використовуються для забезпечення найкращих результатів прогнозування, після вивчення надзвичайно великих обсягів даних протягом тривалого часу. Результатом цієї безперервної еволюції стала модель, яка дуже добре підходить для реального застосування. Це модель, яка може точно прогнозувати та передбачати нові загрози.

Часова предиктивна перевага ML-моделей

Дискусії щодо якості та ефективності моделей ML часто обертаються навколо розміру моделі, кількості параметрів і продуктивності на встановлених тестових даних. Водночас до уваги не береться час — найважливіший результат, який може забезпечити якісний AI.
У певних доменах, таких як мова, бачення, завдання категоризації та ідентифікації об'єктів, оцінювати час не критично важливо. Однак у кібербезпеці час має вирішальне значення для виявлення загроз у контексті захисту від шкідливого програмного забезпечення до його виконання. Саме тут моделі виявляють і блокують шкідливе програмне забезпечення до того, як воно розгортається і виконується.
Поряд з прогнозуванням поведінки зловмисника за допомогою машинного навчання, валідація моделі повинна враховувати часову стійкість, де вона доводить свою ефективність проти минулих і майбутніх атак. Однією з найважливіших метрик у цьому контексті є прогностична перевага моделі в часі. Часова предиктивна перевага (Temporal Predictive Advantage, TPA) — це термін для оцінки продуктивності моделей Cylance проти майбутніх загроз.
Ця концепція пов'язана з оцінкою алгоритмів безпеки або конструкцій шифрів, які вимірюють криптографічну часову інваріантність — іншими словами, чи є реакція системи на вхідний сигнал передбачуваною і правильною, незалежно від того, коли цей вхідний сигнал з'явився. Ось приклад: Оскільки ми не можемо перемотати час назад або вперед, ми тренуємо моделі, використовуючи класи шкідливих програм з минулого, і тестуємо їх проти новіших. Метою такого часового тестування є перевірка узагальненої продуктивності в часі, що має вирішальне значення для виявлення захисту "нульового дня". Це тестування допомагає нам тренувати архітектуру моделі та оцінювати її здатність навчатися і виявляти зловмисні наміри.
Доцільно поставити запитання: “Чому це важливо?” Зрештою, моделі можуть часто оновлюватися в хмарі, звідки, як правило, обслуговується більшість моделей. Однак є багато кінцевих точок — наприклад, в IoT, регульованих галузях, або відʼєднаних і навіть навмисно фізично розділених кінцевих точках, які не підключені до хмари. У цих випадках оновлення моделей не завжди можливе. У моделях ML, які значною мірою залежать від хмарних технологій, втрата зв'язку може значно знизити рівень виявлення. Однак нещодавній сторонній аналіз показав, що завдяки тому, як побудована модель BlackBerry Cylance, виявлення шкідливого ПЗ та постійний захист відбуваються на однаковому рівні незалежно від наявності підключення до мережі. Ми використовуємо хмарні технології, але не залежимо від них.

І ще одне важливе зауваження: якщо ваш постачальник наполягає на частих оновленнях моделі, це може свідчити про незрілість моделі ML. Без оновлень ця модель може зазнати швидшого відхилення — втрати предиктивної здатності — і стрімко зростатиме кількість пропусків класів шкідливого ПЗ. На противагу цьому, наведений нижче графік ілюструє TPA в місяцях, коли модель Cylance четвертого покоління тестувалася проти нових класів шкідливого програмного забезпечення. Як довго в майбутньому вона виявляла та блокувала загрози без оновлення моделі?
Захист тривав до 18 місяців без оновлення моделі. Знову ж таки, це свідчить про зрілість моделі та її точне навчання. Це не відбувається випадково.

Illustration

Діаграма 1 — Часова предиктивна перевага для AI-моделі Cylance четвертого покоління. Вона показує, як довго в майбутньому захист триває без оновлення моделі. У цьому випадку від 6 до 18 місяців.

Зрілий AI прогнозує ухиляючі загрози та в майбутньому запобігає їм

CylanceENDPOINT вирізняється новою технологією виведення ML-моделі. Вона може зробити висновок, або "вирахувати", чи є щось загрозою, навіть якщо вона ніколи не бачила цього раніше. Підхід BlackBerry використовує унікальний гібридний метод розподіленого виведення, концепція якого була розроблена сім років тому, ще до появи бібліотек ML та інструментів для роботи з моделями. Результат цього підходу — остання модель, яка є вершиною інновацій та вдосконалень протягом багатьох поколінь.

Щоб побачити, як зрілий штучний інтелект виявляє зловмисне програмне забезпечення, дивіться на приклад виявлення шкідливих Sality і Parite. Це поліморфні варіанти шкідливих програм, які створюють кілька версій, намагаючись уникнути виявлення. Їх дуже важко виявити за допомогою звичайних методів, таких як сигнатури та евристики, або за допомогою незрілих методів машинного навчання. Не всі моделі AI та ML створені однаково, незалежно від того, як вони просуваються на ринку.
RedLine Infostealer з’явилося на початку 2020. Це зловмисне ПЗ-як-послуга з високим рівнем реплікації. Воно часто ховається в ChatGPT, Bard, Facebook ads і т.д.

Illustration

Діаграма 2 — На цьому графіку показано класи шкідливих програм за 30 днів, виявлених в системі Cylance. Деякі з цих класів є новими та оновленими й не траплялися раніше. Попри це, модель виявляє їх.

Чи можна його легко виявити? На діаграмах нижче показано ефективність моделі проти двох класів: поліморфного зловмисного ПЗ класу Sality та ПЗ-як-послуги класу RedLine. (Примітка: PE4C, PE6E та PE7D — це покоління моделі, причому PE7D є найновішою).

Illustration

Діаграми 3a та 3b — На цих графіках показано кілька поколінь моделі Cylance та їхні високі показники викриття поліморфного ПЗ Sality (ліворуч) та RedLine Infostealer (праворуч), навіть коли моделі ML вже кілька років.

У цих результатах дуже добре проглядається перевага TPA-моделей. У шостому поколінні, випущеному понад три роки тому, модель ідентифікує або "засуджує" шкідливе ПЗ, а останнє оновлення моделі засуджує понад 99% нових варіацій RedLine (на цьому графіку чим більше, тим краще).
Нижче наведено кілька додаткових графіків продуктивності моделей для конкретних класів цікавих програм-вимагачів, таких як LockBit (ліворуч) і Maze (праворуч). Ці результати демонструють аналогічну предиктивну перевагу ML моделей Cylance. Варто також зазначити, що остання версія моделі, PE7D, викриває понад 99% цих варіантів.

Illustration

Діаграми 4a і 4b — На цих графіках показано кілька поколінь моделі Cylance та їхні високі показники викриття шкідливих програм LockBit (ліворуч) і Maze (праворуч), навіть якщо моделі ML вже кілька років.

Тепер розширимо ці результати та подивимося на загальну ефективність моделей проти всіх класів шкідливих програм, які спостерігалися протягом 30-денного періоду. Погляньте на діаграму нижче, де менше значення — це менша кількість “пропусків” в блокуванні.
Якщо простими словами — це відсоток помилок. Це означає, що модель не засуджує штам шкідливого ПЗ, оскільки помилково ідентифікує його як такий, що демонструє доброякісну поведінку. У цьому випадку нижчий показник є кращим, оскільки він відображає відсоток пропусків від загальної кількості. Рівень пропусків моделі останнього покоління становить менш як 0,005%, а результати попередніх поколінь — менше ніж 0,01% у всіх категоріях, що спостерігалися протягом 30-денного періоду для останніх типів шкідливого програмного забезпечення.

Illustration

Діаграма 5 — Цей графік демонструє надзвичайно низький рівень помилкових пропусків у різних поколіннях моделей Cylance. Це коли модель не розпізнає програми як зловмисні, тому чим нижче, тим краще.

Прогнозування шкідливих програм: Найдосконаліша модель Cylance

Завдяки доступу до величезних і різноманітних наборів даних, які складаються з петабайтів інформації та спостереження за поведінкою зловмисних програм в часі, найновіша модель від BlackBerry є також найпотужнішою версією на сьогодні. Вона перевершила всіх своїх попередників за різними показниками ефективності, включно з перевагою в часовому прогнозуванні. Після того, як було оцінено понад 500 мільйонів зразків за мільярдами функцій, а також за результати висновків попередніх поколінь, що фіксують інсайти з плином часу, АІ BlackBerry Cylance продовжує демонструвати відмінні результати. І він може похвалитися винятковою швидкістю, оскільки підтримує розподілений висновок як локально, так і в хмарі.
BlackBerry вже давно застосовує машинне навчання в кібербезпеці, і продовжує розвивати інновації в цій галузі. Оскільки зловмисники все більше залучають штучний інтелект, зараз як ніколи важливо забезпечити оборонну позицію з кібербезпеки, зосереджену на вагомих результатах.
З моменту свого створення Cylance AI захищає підприємства та уряди в усьому світі від кібератак, маючи багаторічну перевагу в прогнозуванні. Cylance AI від BlackBerry допомагає клієнтам зупиняти на 36% більше шкідливих програм, у 12 разів швидше і з у 20 разів меншими накладними витратами, ніж у конкурентів. Ці результати демонструють, що не всі AI однакові. І не весь AI — це Cylance AI.
Якщо, у вас залишилися питання щодо роботи Cylance AI або вас цікавлять рішення BlackBerry, пишіть на електронну адресу moc.hcetokab%40yrrebkcalb і наші інженери з радістю допоможуть.

ОТРИМАТИ КОНСУЛЬТАЦІЮ / ДЕМО / ДІЗНАТИСЯ ВАРТІСТЬ

Дякую!

Наш менеджер зв'яжеться з вами найближчим часом.

Can't send form.

Please try again later.