Antivirus får allt svårare att skydda datorer och servrar. Med maskininlärning kan helt nya hot stoppas, vilket höjer säkerheten.
Antivirus har traditionellt varit en grundbult i alla företags datorsäkerhet, men nu börjar de få det svårt att hinna stoppa alla nya hot i tid. Det krävs ett nytänkande för att ge ett tillräckligt bra skydd mot skadlig kod. Ett exempel på detta nytänkandet står SentinelOne för.
– Istället för att bygga på signaturer för att identifiera skadlig kod använder vi artificiell intelligens för att identifiera statiska och dynamiska attribut. Till skillnad från antivirus jämförs alltså inte koden i varje fil med virussignaturer i en databas utan programmet tittar på hur filen är uppbyggd eller beter sig i systemet, säger Andy Norton, Risk Officer på SentinelOne.
Med hjälp av maskininlärning har SentinelOne analyserat beteendet hos enorma mängder skadlig kod. Det finns flera miljoner filer, men för att utgöra ett hot måste den skadliga koden inneha en aktivitet, exempelvis att försöka komma ut på delar av internet innan filer krypteras eller registrera tangenttryckningar. Attacker kan även ske utan filer, men de måste ändå upptäckas och stoppas innan de har möjlighet att orsaka någon skada.
Detta löser det problem som antivirus har med så kallade ”zero day threats” eller FUD, fully undetectable payloads – virus som ändrar sig så att befintliga signaturer inte längre är relevanta för dessa. Innan det finns en färdig definition av en skadlig kod kan ett antivirusprogram som är baserat på signaturer inte upptäcka hotet alls utan släpper igenom det. Även en minimal förändring i koden gör att det behövs en ny signatur för att antivirusprogrammet ska upptäcka hotet.
Med igenkänning av beteendemönster spelar det ingen roll hur koden ser ut utan det är beteendemönstret som identifieras och stoppas. Eftersom den skadliga koden måste utföra vissa uppgifter enligt ett visst mönster för att fungera kan även helt nya hot stoppas.
I och med att SentinelOne inte behöver gå igenom en enorm databas med signaturer för att kontrollera varje fil kräver det också mycket mindre processorresurser. En liten agent körs i bakgrunden på varje dator och server som ska skyddas och den tar inte mer än en procent av CPU-resurserna.
SentinelOnes lösning kan köras parallellt med ett existerande antivirusskydd, men i praktiken kan det helt ersätta det traditionella antivirusprogrammet likväl som nätverkssandlådor och ändå höja säkerheten betydligt.
– Eftersom vi finns i själva systemet så kan vi inte bara stoppa direkta hot utan även hjälpa företagen att jobba mer proaktivt med att strömlinjeforma processer för säkerhetsanalys, vilket ger mer tid att hitta malware. Vi kan indikera vid olika stadier av elimineringskedjan och då går det att vidta åtgärder för att hindra attacken innan den hinner uppehålla sig, säger Andy Norton.
