Den nya sortens virusskydd som är baserat på maskininlärning kan höja säkerheten hos ett system betydligt. Men många vågar inte testa och nöjer sig med ett sämre skydd som är mer sårbart för intrång.
– Alla dagens signaturbaserade virusskydd bygger på att någon först måste bli infekterad innan hotet kan upptäckas. Det kanske räckte förr, men idag går det allt snabbare med utvecklingen av nya varianter av skadlig kod. Marknaden har börjat förstå att de stora aktörerna, med sina gamla signaturbaserade skydd, inte räcker till för att lösa dagens problem, säger Marcus Bengtsson, CTO på Orange Cyberdefense.
En lösning på problemet kan vara att gå över till virusskydd baserade på maskininlärning, eller Machine Learning – ML – som kan fånga upp även okänd skadlig kod som påträffas.
Orange Cyberdefense har under flera år samarbetat med Cylance, som erbjuder verktyg utvecklade med hjälp av Machine Learning. Genom att förfina sin algoritm har man idag cirka 6 miljoner olika parametrar som studeras av programmet för att avgöra om kod ska klassas som skadlig eller ofarlig. Man har härigenom lyckats nå en upptäcksprocent som är avsevärt högre än vad de traditionella, signaturbaserade, antivirusprogrammen har.
Machine learning höjer tröskeln mot intrång
Enligt Marcus höjer skydd som är baserade på ML tröskeln för hackers och andra utvecklare av skadlig kod väsentligt. För att undgå upptäckt räcker det inte längre med att skriva en ny kod, med hittills okänd signatur. Det krävs betydligt mer tid, resurser och kompetens för att skriva något som har en helt ny karaktäristik, något som inte den ”upplärda” algoritmen i ett ML-baserat skydd kan känna igen. Det blir därför betydligt billigare och enklare för den som har ont uppsåt att istället ge sig på någon som har den traditionella typen av virusskydd installerat.
Den ökade säkerheten har dock ett pris, i och med att ML-baserade verktyg, som Cylance, är cirka 4-5 gånger dyrare i inköpskostnad än traditionella program. Totalkostnaden behöver dock inte bli så mycket högre, då ML-baserade verktyg inte behöver den kontinuerliga uppdatering, och förvaltning, som traditionella antivirusskydd kräver. Det kräver inte heller lika mycket kapacitet av den maskin som den är installerad på, vilket möjliggör att få ett avancerat skydd även där man hittills, av kapacitetskrav, valt att inte köra något skydd. Den största vinsten ligger dock i att skyddet är proaktivt, man slipper åtgärda skador eftersom intrångsförsök upptäcks i högre grad än tidigare.
Största hindret – att inte våga testa
– Dagens största hinder mot införandet av den nya generationens virusskydd är att kunderna är rädda för förändring. Man tror inte att ett algoritmbaserat skydd kan fungera mot nya, hittills okända säkerhetshot. Kunderna måste få tillräckligt förtroende för den nya ML-baserade säkerhetslösningen för att våga testa den. Sedan är de fast, säger Marcus Bengtsson.
