Nu-i este nimic surprinzător în faptul că securitatea cibernetică reprezintă o problemă de actualitate asupra cărora numeroși dezvoltatori software ar trebui să-și îndrepte atenția. Din nefericire, există deja victime ale lacunelor de securitate în ceea ce privește experiența de navigare online, iar calculatoarele, laptopurile și alte gadgeturi inteligente pe care le folosim pot fi oricând – în lipsa unei sistem avansat de protecție – ținte ale hackerilor și, implicit, ale atacurilor cibernetice care pot produce pagube dintre cele mai mari. Totuși, din ideea de a dezvolta noi strategii, protocoale de securitate cibernetică, cercetătorii de la Universitatea Cardiff au dezvoltat o nouă abordare pentru detectarea și eliminarea automată a acestor tip de atacuri, în mai puțin de o secundă.
S-a demonstrat faptul că metoda documentată și fundamentată de către cercetători a împiedicat complet coruperea a până la 92% din fișierele de pe un computer, iar un software dăunător (en. malicious program) a fost eliminat, în medie, în numai 0,3 secunde, ceea ce reprezintă un timp foarte rapid de acțiune. Utilizând inteligența artificială într-o abordare complet inovatoare, nouă, s-a constatat că tehnologia poate preveni în mod eficient coruperea datelor, care ar putea avea loc prin diferite moduri de atac cibernetic. Echipa și-a publicat rezultatele în Security and Communications Networks și afirmă că aceasta este prima demonstrație a unei metode care nu doar că poate să detecteze, dar poate și să elimine software-ul rău intenționat în timp real, ceea ce ar putea revoluționa abordările privitoare la securitatea cibernetică modernă și, evident, atacurile cibernetice pot fi evitate
Noua tehnologie, care a fost dezvoltată într-un proiect de colaborare cu Airbus, se concentrează în principal pe ideea de monitorizare și anticipare a comportamentelor programelor malware, spre deosebire de tehnologiile antivirus clasice, care analizează cum arată o bucată din programul malware. De asemenea, acesta utilizează cele mai recente aspecte cunoscute din domeniul inteligenței artificiale și al învățării automate (Machine Learning), subdisciplină a inteligenței artificiale în care programele de calculator (algoritmii) învață asociații cu capacitate de predicție, analizând exemplele de date, prin utilizarea și analiza unui set complex de date statistice deja existente. „Software-ul antivirus tradițional va analiza structura de cod a unei bucăți din malware și-l va percepe drept «familiar», cunoscut”, explică profesorul Pete Burnap, coautor al studiului.
„Însă problema este că dezvoltatorii de malware vor reactualiza și schimba codul, astfel încât, a doua zi, acesta va arăta diferit, deci nu va putea fi detectat de software-ul antivirus. Vrem să știm cum se comportă o bucată din malware, astfel încât, odată ce începe atacul asupra unui sistem, cum ar fi deschiderea unui port, lansarea unei acțiuni sau descărcarea unor date într-o anumită ordine, să lase în urmă o amprentă digitală pe care, ulterior, să o folosim pentru a construi un profil comportamental, pentru a cunoaște acel pattern de acțiune”. Prin antrenarea computerelor pentru a efectua simulări pe bucăți specifice de malware, este posibil să se facă o predicție extrem de rapidă (în mai puțin de o secundă, după cum s-a putut constata), a modului în care malware-ul se va comporta mai departe. Pattern-ul specific este, ulterior, analizat, și sunt dezvoltate software-uri de inteligență artificială care să preîntâmpine dinamica evolutivă a atacului cibernetic. Destul de interesant, nu-i așa?
Odată ce un software este semnalat ca fiind rău intenționat, dăunător, următoarea etapă a procesului constă în eliminarea acestuia și neutralizarea efectelor pe care le-ar putea avea asupra integrității dispozitivului – aici intervin, de fapt, rezultatele cercetării întreprinse de echipă. „Odată ce amenințarea este detectată, din cauza evoluției foarte rapide a unor programe malware distructive, rău intenționate, este absolut necesară existența unor acțiuni automatizate care să sprijine aceste detecții”, a adăugat profesorul Burnap. „Motivarea noastră principală în întreprinderea acestei lucrări a fost faptul că, în momentul de față, nu există nimic disponibil care să poată face acest tip de detectare și distrugere/neutralizare automată, în timp real, pe dispozitivul unui utilizator”.
Produsele existente în ziua de astăzi, cunoscute sub numele de detectare și răspuns pentru punct final (EDR, Endpoint Detection and Response) sunt utilizate pentru a proteja, în speță, dispozitivele utilizatorilor finali, cum ar fi calculatoarele folosite la birou, laptopurile și dispozitivele mobile, și sunt concepute pentru a detecta, analiza și bloca atacurile aflate în curs de desfășurare. Principala problemă a acestor tip de produse – ce-i drept, oricum cu eficacitate destul de bună – este că datele trebuie trimise administratorilor pentru a putea fi pus în aplicare un răspuns specific, moment în care este posibil ca un malware să fi provocat, deja, daune irecuperabile și însemnate.
Pentru a testa noua metodă de detectare, echipa a creat un mediu informativ virtual care să reprezinte un grup de laptopuri utilizate în mod obișnuit, fiecare dintre acestea rulând până la 35 de aplicații în același timp, pentru a stimula un comportament de utilizare obișnuit. Metoda de detectare bazată pe inteligență artificială a fost apoi testată folosind mii de mostre de cod malware. Autorul principal al studiului de față, Matilda Rhode, în prezent șefă a departamentului de inovare și cercetare la Airbus, a declarat că rezultatele cercetării reprezintă un pas important către implementarea unui sistem de detectare automată în timp real, „deși mai avem încă un lung drum de parcurs în ceea ce privește îmbunătățirea acurateței acestui sistem înainte de a putea fi implementat”. De acest sistem s-ar putea bucura nu doar laptopurile și computerele personale, ci și celelalte dispozitive inteligente, pe măsură ce IoT devine tot mai răspândit și popular.
Modelul propus utilizează filtrarea statică, pe lângă un mod de detectare a malware-ului bazat pe un comportament dinamic de învățare automată – cu alte cuvinte, sunt detectate „din mers” procesele malware individuale, pentru ca mai apoi să fie blocate și distruse. În cadrul experimentului de cuantificare a viabilității și impactului tangibil al acestui sistem, s-a constat că ransomware-ul cu acțiune rapidă este împiedicat să corupă 92% din fișiere, cu o rată de răspuns fals-pozitiv de 14%. În timp ce rata de răspuns fals-pozitivă rămâne, în prezent, prea mare pentru a adopta acest sistem ca atare, rezultatele obținute certifică necesitatea unui model de detectare în timp real, care să poată acționa extrem de rapid, în doar câteva secunde de la începutul execuției malware-ului. Inovația studiului de față este că, într-adevăr, un interval de timp atât de scurt nu a fost abordat în lucrări anterioare și în experimente întreprinse de alți cercetători.
Există foarte multe provocări cheie care trebuie abordate în detectarea „din mers”, în timp real, a programelor malware care se infiltrează specific pe un dispozitiv aflat în uz, în comparație cu detectarea aplicațiilor malware care sunt activate în mod izolat într-o mașină virtuală (ce vizează un model experimental, ca în studiul de față). Câteva dintre ele sunt reprezentate de următoarele aspecte:
- Separarea semnalelor – detectarea în timp real necesită ca activitățile de tip malware și cele benigne (un ”prank virus”, care nu provoacă daune), pentru a se putea întreprinde acțiuni automate doar asupra celor rău intenționate;
- Utilizarea de urme parțiale – pentru a se încerca atenuarea daunelor, programele malware trebuie să fie detectate cât mai rapid posibil, dar, după cum s-a evidențiat deja în lucrările anterioare, există un compromis între cantitatea de date colectate și precizia clasificării în primele câte secunde de la inițierea atacului, iar acest lucru poate fi valabil și pentru procesele individuale;
- Clasificarea rapidă – interferența în sine ar trebui să fie cât mai rapidă posibil, asta pentru a limita și mai mult modificarea daunelor rău intenționate, odată ce programul este considerat a fi de tip malware;
- Impactul blocării/neutralizării automate în învățarea supravegheată – învățarea supravegheată („antrenarea” programelor din calculator pentru a învăța diferite asociații între intrările și ieșirile de date, prin analiza unui model prestabilit, definit de către om) face o medie a ratei de eroare pe întregul set de instruire, dar atunci când clasificarea are drept rezultat o acțiune, această netezire a erorilor pe întregul set de date temporare nu este posibilă.
În cele din urmă, principalele contribuții ale cercetărilor întreprinse de către echipă sunt următoarele:
- Realizarea primului model general de detectare a programelor malware care demonstrează atenuarea pagubelor în timp real, prin detectarea și blocarea/neutralizarea proceselor malware;
- Evaluarea comparativă a implementărilor algoritmilor ML (Machine Learning) utilizați în mod obișnuit în ceea ce privește consumul de resurse de calcul;
- Prezentarea detectării în timp real a programelor malware în raport cu mai multe aplicații de fundal ale utilizatorilor, decât cele care au fost investigate anterior, în alte studii (după cum am spus, numărul de aplicații care rulau în fundal a fost între 5-36, rulate simultan).
