Varje dygn skapas ungefär en halv miljon nya datorvirus. Dessa upptäcks inte av många konventionella antivirusplattformar där endast redan känd skadlig kod stoppas. Betydligt säkrare är lösningar baserade på maskinlärning.
Alla dagens signaturbaserade virusskydd bygger på att något först måste bli infekterat innan hotet kan upptäckas. Det kanske räckte förr, men idag går det allt snabbare med utvecklingen av nya varianter av skadlig kod. Marknaden har börjat förstå att de stora aktörerna, med sina gamla signaturbaserade skydd, inte räcker till för att lösa dagens problem
Maskininlärning ökar säkerheten
För att klara säkerheten skulle de därför behöva ersätta det befintliga skyddet med ett skydd baserat på maskininlärning (ML), som inte förlitar sig på att upptäcka skadlig kod som är baserat på listor över redan kända hot. Nämligen ett system med lättviktiga agenter som regelbundet ”tränas” i molnet. Agenterna fungerar självständigt på varje server eller klient, och är inte beroende av en ständig internetanslutning – något som konventionella, signaturbaserade lösningar, behöver.
Läs mer: Så arbetar Orange Cyberdefense med Endpoint Security
En av de tuffaste uppgifterna för ett antivirusskydd idag är att upptäcka så kallade fillösa hot. De består av skript som i sig inte är skadliga, men som utnyttjar operativsystemets inbyggda verktyg, exempelvis Powershell, för att komma åt en maskin och ett nätverk.
– Där går de flesta antivirusskydd bet, säger Magnus Stenlund på Orange Cyberdefense.
Matematiska modeller och minnesskydd
Men det finns lösningar även på detta. Tack vare matematiska modeller, minnesskydd och funktioner för kontroll av skript kan Cylance antivirussystem hantera även
sådana hot. Därför är det bättre på att upptäcka virus och skadlig kod än i princip alla andra antivirusskydd på marknaden, säger Magnus Stenlund:
– Det är byggd för att identifiera aldrig tidigare identifierad kod. De flesta andra metoder går ut på att systemen jämför kod med en lista över kända virus, så kallade signaturer. Det gör att nya virus tar sig igenom innan antivirusleverantörerna har hunnit uppdatera sina signaturlistor.
Cylance system skyddar lika bra även om internetuppkopplingen är svajig. Detta eftersom det inte är beroende av dagliga, externa uppdateringar. Om en användare med en signaturbaserad lösning luras till att starta skadlig kod utan internetanslutning kommer maskinen att bli infekterad.
– Därför ser vi att systemet skyddar bättre när användarna inte är uppkopplade, exempelvis på resor, säger Magnus Stenlund.
Antalet smittade datorer minskar med 90 procent
Färsk statistik visar att efter en installation av Cylance minskar antalet smittade datorer hos företag med så mycket som över 90 procent. Dessutom är plattformen synnerligen resurssnål vilket minskar risken för infektion och behovet av administration.
– Vi var inte själva övertygade om att det skulle fungera med befintlig hårdvara. Men när vi hade installerat systemet – eller rättare sagt de små agenter som övervakar varje virtuell maskin – såg vi att prestandaminskningen jämfört med ett system utan antivirusskyddet knappt var mätbar, säger Magnus Stenlund.
Känner igen skadlig kod
Cylance är knappast ensamma om metoden som i grunden bygger på artificiell intelligens och maskininlärning. Men de är den första leverantören som utvecklade ett antivirusskydd som i grunden baseras på dessa tekniker. Resultatet blev att de har skapat ett skydd som känner igen fler varianter av skadlig kod än någon annan lösning.
Tekniken gör att plattformen fungerar förebyggande genom att förhindra att skadlig kod tar sig in i nätverket eller på enheten.
– AI är ett missbrukat begrepp. Många säger att de har det, men det är stora skillnader i hur det används och vad det kan åstadkomma. Cylances algoritm som utvecklades 2015 hittar fortfarande över 90 procent av all ny skadlig kod. Det är ett bra exempel på hur maskininlärning kan användas på ett effektivt sätt, kommenterar Magnus Stenlund.
