ESET: Magie rond Artificial Intelligence mag minder

Dave Maasland, CEO ESET Nederland

Security is altijd een kat-en-muisspel geweest, waarbij malwaremakers hun creaties vooral zo lang mogelijk onopgemerkt willen houden, en securityleveranciers de detectie juist willen verbeteren. Producenten van anti-malwareoplossingen scheppen regelmatig op dat ze Articifical Intelligence inzetten voor preventieve detectie, terwijl cybercriminelen juist spelen met de gedachte hun malware ‘slim’ te maken. Een cruciale ontwikkeling, zo vinden ze bij ESET, maar wel eentje waar misverstanden over bestaan.

In alle facetten van ICT is Articifical Intelligence een belangrijk element aan het worden. Security is daar geen uitzondering op. Het dreigingslandschap verandert ook wel en doet dat voelbaar, vindt Dave Maasland, CEO van ESET Nederland. “Maar we zien ook hele slechte voorlichting in de markt”, zo zegt hij meteen. Volgens hem roepen leveranciers te snel dat hun producten zo slim zijn dat ze nieuwe malware kunnen herkennen zonder vooraf data te hebben gezien en zonder menselijke tussenkomst. “Het is als een dokter die een wondermiddel voor alles aanprijst”, zegt hij. “Vooral in het endpoint- segment hoor je dat soort geluiden. Maar het is simpelweg niet waar dat je dreigingen met 100 procent kan detecteren zonder dat je voorheen iets hebt gezien dat erop lijkt. Je hebt geen volledig autonoom algoritme die onafhankelijk te werk kan gaan. Bedrijven nemen daardoor de verkeerde beslissingen.”

Het is niet zoeken naar malware, maar naar een speld in een hooiberg van geavanceerde, onbekende bedreigingen

Machine Learning

Wat wel bestaat zijn algoritmes die aan de hand van data steeds slimmere beslissingen nemen en na verloop van tijd een hogere effectiviteit vertonen op nieuwe varianten van bestaande malware. Dan gaat het specifiek over machine learning, een subset van Articifical Intelligence. “Je kunt pas over tientallen jaren gaan spreken over echte Articifical Intelligence”, verwacht Maasland. ESET concentreert zich dan ook op machine learning. “Maar het succes zit hem er juist in dat we veel investeren in de data-input.” Machine learning, zo benadrukt hij, is een belangrijke laag in de defensie van ICT-systemen geworden en die gaat nooit meer weg. “In grote complexe netwerken wil je afwijkend gedrag in het netwerk snel oppikken. Machine learning gaat ons daarbij helpen. Het is een belangrijke evolutie. Maar het is niet dé laag.”

Dave van Maasland

Bovendien wordt machine learning ook door malwaremakers aangewend, zo vertelt Maasland. “Ze kunnen sneller itereren omdat de malware data terugkoppelt. Als ze zien dat ze een sample hebben gelanceerd die niet succesvol is, kunnen ze daarop aanpassen en slimmer ontwikkelen, want ze hebben de data. Ze kunnen sneller testen of samples wel of niet worden gedetecteerd”, zegt hij. “De aanvallende kant heeft meer mogelijkheden om sneller en effectiever meerdere bedrijven te scannen op of er boeiende data te halen is, en om pas vervolgens tot een aanval over te gaan.” Machine learning wordt bovendien aangewend om ervoor te zorgen dat malware ziet in wat voor soort ICT-omgeving hij nu zit. “Zit ik in een virtuele omgeving, of is het wellicht een sandbox? Daar kunnen de malwaremakers vervolgens naar handelen.”

Maar, zo zegt Maasland ook, de situatie is minder nieuw dan het lijkt. “Polimorphic malware bestaat al heel lang”, zegt hij, verwijzend naar het soort malware dat zijn kenmerken constant verandert om detectie te voorkomen. “De taak van securityleveranciers is om hun algoritmes constant te verbeteren, terwijl malwaremakers juist proberen detectie te voorkomen. Je komt dan snel in dezelfde rat race terecht, waarbij security- vendoren reageren op malwaremakers.”

Producten

Het is een belangrijke reden voor ESET om veel onderzoek te doen naar machine learning in malware en de 30-jarige ervaring van het bedrijf op dat gebied toe te passen. Dat brengt Maasland ook bij specifieke endpointbescherming, omdat machine learning juist daar een actueel thema is. “Recent hebben we een release gehad waarbij we verdere stappen zetten in onze visie van ons endpoint protection platform”, zegt hij. “Het gaat specifiek om twee belangrijke innovaties. Enerzijds een introductie van ons Endpoint Detection and Response- product, die vreemde dingen in je netwerk detecteert gecombineerd met ons cloudreputatiesysteem. We zien daardoor dingen bij onze honderdtien miljoen klanten wereldwijd waarmee we onze EDR-producten slimmer maken. Daar kun je sneller op handelen. Geen malwaredetectie, maar een zoektocht naar de speld in de hooiberg van geavanceerde bedreiging.”

‘Je kunt pas over tientallen jaren gaan spreken over echte Articifical Intelligence’ 

Daarnaast brengt ESET een cloud- sandbox-oplossing. “ESET Dynamic Threat Defense analyseert alles dat binnen komt eerst in een private sandbox voor het af te leveren in het netwerk.” Beide oplossingen klinken niet heel nieuw, maar Maasland zegt dat de ingebouwde machine learning-mechanismen het aantal false positives drastisch naar beneden brengt. “In grote omgevingen heb je misschien tienduizenden of zelfs honderdduizenden processen die aanpassingen maken die eventueel als verdacht kunnen worden aangemerkt. Dankzij de machine learning kun je dat alles heel snel classificeren.” Alles is aanroepbaar vanuit een enkele console, een belangrijke eis van eindklanten. “Alle producten zijn bovendien multitenant, en ook de licentiemodellen zijn afgestemd op MSP’s”, zegt hij. “Het mkb wil ook dit soort oplossingen gaan toepassen, maar kunnen dat nooit alleen af. Daarom geloven wij zo in het MSP-kanaal.”

[Dit artikel is eerder gepubliceerd in het Security Dossier 2018 van ChannelConnect]

Lees het artikel hier in PDF