AI voor bestrijden van malware nog een stap te ver

Veel securitybedrijven beloven tegenwoordig kunstmatige intelligentie (AI) als wondermiddel in de strijd tegen malware en cybercriminelen. Volgens de Slowaakse securityspecialist ESET is dit echter nog een stap te ver. Machine learning helpt volgens de specialisten wel stappen te zetten in de strijd tegen de blackhats.

Om meer te weten over hoe ESET er tegenwoordig voor staat, reisden we onlangs af naar het hoofdkwartier in Bratislava. Twee jaar geleden brachten we ook al een bezoek aan het bedrijf, toen bleek dat de securityspecialist graag een speler van formaat wilde worden. Naar eigen zeggen is ESET tegenwoordig de grootste securityspecialist van Europa en een belangrijke challenger op wereldniveau. Het personeelsbestand groeide naar bijna 1600 medewerkers verspreid over 22 kantoren wereldwijd.

ESET werkt in meer dan 200 landen samen met partners die eigenlijk een soort franchisenemers zijn. Zo ook in Nederland, waar het kantoor in Sliedrecht staat. De samenwerking met de Nederlandse locatie is heel hecht, bevestigt de meegereisde CTO Michael van der Vaart van ESET Nederland. De securityspecialist gebruikt bijvoorbeeld vaak in ons land ontwikkelde best pratices. Er is ook samenwerking rondom threat intelligence.

Om de omvang nog wat meer met nummers te vangen, geeft ESET aan wereldwijd 600 miljoen eindgebruikers te beveiligen tegen cyberaanvallen. Hoewel het bedrijf zich hierover zeer bescheiden opstelt, wordt de meerderheid van deze eindgebruikers via ingebouwde code in de webbrowser Google Chrome beschermd. Het gaat om ongeveer een half miljard.

Ontdekker van nieuwe bedreigingen

Maar voor alleen bedrijfsmatige informatie waren we natuurlijk niet naar Bratislava afgereisd. Hoe biedt ESET bescherming tegen huidige en nieuwe bedreigingen en welke oplossingen worden hiervoor op de markt gebracht? Het bedrijf is goed in het vroegtijdig ontdekken van nieuwe bedreigingen, zo werd ons duidelijk. Zo ontdekte het onlangs de allereerste rootkit, LoJax, die zich via het UEFI/BIOS permanent op de getroffen computers wil vestigen. UEFI-rootkits zijn extreem gevaarlijke tools voor het starten van cyberaanvallen. Ze werken als een soort toegangssleutel voor de gehele getroffen computer. De UEFI-rootkits zijn moeilijk te ontdekken, kunnen antimalwaresoftware omzeilen en bepaalde maatregelen overleven. Denk daarbij aan een herinstallatie van het besturingssysteem of het vervangen van de harde schijf.

Bovendien vereist het schoonmaken van geïnfecteerde systemen zeer specialistische kennis, zoals het flashen van firmware. Het enige medicijn dat echt werkt, is vaak het compleet vernietigen van het getroffen device. De ontdekking van deze zeer kwaadaardige rootkit werd mogelijk gemaakt doordat de securityspecialist al enige tijd een ingebouwde UEFI scanner meelevert in zijn endpoint-beveiligingssoftware.

ESET boekte ook succes als ontdekker van de beruchte BlackEnergy-, Industroyer- en de recent  ontdekte GreyEnergy-aanvallen met Advanced Persistent Threats (APT’s) op industriële doelen. De Slowaakse beveiligingsspecialist is hier erg trots op. Over wie deze aanvallen nu precies uitvoert, houdt het bedrijf zich trouwens op de vlakte. Al bestaan er links met de beruchte Telebots-groep van NotPetya. Het standaard antwoord is dat ESET alleen de malware traceert en volgt, maar niet kan zien wie de aanvallen precies uitvoeren.

 

 

Het tijdspad tussen BlackEnergy en GreyEnergy (bron: ESET)

More to come

Naast deze ontdekkingen wijzen de specialisten uit Bratislava erop dat de komende jaren ons nog meer ellende op het gebied van malware te wachten staat. IoT-devices, zeker die in smart home-toepassingen worden aangetroffen, staan hoog op de agenda om met kwaadaardige malware te worden bestookt. Hackers zijn nu al in staat om smart-tv’s te besmetten met apps voor cryptomining. Naast het feit dat de verdiensten naar de kwaadwillende gaan, neemt ook het energieverbruik toe.

Verder zien de experts steeds meer malware komen die zich, naast geld verdienen, ook richt op de complete ontwrichting van de doelen. Hieronder vallen de eerdergenoemde BlackEnergy-, GreyEnergy- en Industroyer-aanvallen, het Mirai-botnet of de mondiale aanvallen met politieke doelen.

AI bestaat nog niet

Hoe wil ESET nu eigenlijk al deze slechteriken te lijf gaan? Veel securityleveranciers noemen daarvoor tegenwoordig AI als toverwoord. Producten zijn volgens hen tegenwoordig zo slim dat ze zonder menselijke tussenkomst en zonder eerst samples te hebben gezien, bepalen of iets malware is of niet. ESET houdt er zelf een andere mening op na. Volgens de specialisten van het bedrijf bestaat echte AI nog niet.

Of beter gezegd; er bestaan nog geen volledig autonome algoritmes die onafhankelijk werken en op basis van hun ervaring zelf beslissingen nemen. De securityexperts uit Slowakije vinden dat er wel algoritmes zijn die aan de hand van data steeds slimmere beslissingen kunnen nemen en op den duur ook effectiever zijn in het herkennen van nieuwe malware of machine learning. Dit is nu een belangrijk onderdeel geworden van cyberdefensie en zal ook niet meer weggaan, zo benadrukken zij. Met machine learning, onder meer via DNA detections, kan ESET nu zonder menselijke tussenkomst beslissingen nemen die een lage false-positive ratio opleveren.

Machine learning speelt dus steeds vaker een rol. Maar, zo geeft ESET aan, mensen blijven nog steeds nodig om deze technieken te trainen en door te ontwikkelen. Bovendien blijven ze ook extreem belangrijk voor het ontdekken van de ‘zwaardere gevallen’ van malware, zoals targeted malware en de eerder genoemde APT’s, aldus de securityleverancier.

Tot slot wijzen ze erop dat aanvallers eveneens steeds vaker machine learning inzetten om hun malware aan te passen en slimmer te maken. Malware stuurt zelf steeds vaker data terug van de effectiviteit van samples, zodat deze kunnen worden geoptimaliseerd. Hierdoor is een groot kat-en-muisspel ontstaan tussen aanvallers en bestrijders.

Investeren in machine learning

De securityspecialist bevindt zich logischerwijs in het ‘goede’ kamp en vindt dat machine learning vooral nuttig is om in grote en complexe netwerken afwijkend gedrag op te sporen. Bovendien helpt machine learning sterk om het aantal false positives terug te dringen. Kortom, een belangrijke stap in de evolutie van security. Zeker nu big data, goedkopere hardware en de groeiende populariteit van algoritmes voor machine learning de ontwikkeling van machine learning bespoedigen.

ESET is al meer dan 20 jaar bezig met het gebruiken van machine learning om zijn producten nog beter te maken. De securityspecialist verzamelt met behulp van klanten veel samples van potentiële malware in een enorme cloudgebaseerde ‘bibliotheek’, genaamd LiveGrid. Samen met de inzet van big data, goedkopere hardware en het groeiende aantal algoritmes voor machine learning hoopt de securityleverancier zo volledig geautomatiseerd nieuwe malware te vinden, te classificeren en daarvoor uiteindelijk een remedie te vinden.

Al deze initiatieven zijn nu gebundeld onder de naam ESET Augur. Dit is een alles overkoepelend framework voor malwaredetectie dat na uitgebreid testen goed blijkt te helpen bij het geautomatiseerd ontdekken van nieuwe malware. Hiermee worden de verdachte samples ook sneller gereed gemaakt voor inspectie door specialisten. Die maken uiteindelijk toch de definitieve beslissing of iets kwaadaardig is of niet. De technologie Augur is inmiddels standaard onderdeel van alle ESET-antimalwareproducten, van consumenten tot enterprise.

 

ESET Augur (bron: ESET)

Uitdagingen voor de grootzakelijke markt

De focus op machine learning en de implementatie van Augur in producten voor de (groot)zakelijke markt vormt natuurlijk een mooi bruggetje naar de zakelijke producten van ESET. Het bedrijf is niet loslippig als het gaat over welke grote klanten zij hebben, maar het is in alle segmenten vertegenwoordigd. De meeste enterprise-klanten zijn te vinden binnen de overheids- en onderwijssectoren, maar ook binnen de maakindustrie en retail. In Nederland is onder meer een grote bierbrouwer in het zuiden des lands een gewaardeerde eindgebruiker van de producten.

Uit eigen onderzoek constateert de Slowaakse securityspecialst dat bedrijven nu een aantal duidelijke uitdagingen hebben op het gebied van security, zoals angst voor ransomware, doelgerichte aanvallen en hackaanvallen, de vele te beheren devices en weinig inzicht in wat er precies binnen hun netwerken gebeurt.

ESET heeft daar natuurlijk het portfolio voor dat hen uit de brand moet helpen. De diverse oplossingen zorgen ervoor dat bedrijven malware-aanvallen kunnen voorspellen, voorkomen, detecteren en indien nodig tegengaan. Dat kan on-premise of in de cloud. Natuurlijk zijn al deze oplossingen met een eigen managementsysteem, of naar analogie van The Lord of the Rings ‘one management tool to rule them all’, te beheren. Kortom: ook (groot)zakelijk staat ESET absoluut tegenwoordig zijn mannetje.

Wereldspeler

ESET timmert inderdaad hard aan de weg. Het bedrijf heeft een scherp oog voor de laatste ontwikkelingen op securitygebied en durft daar een soms wat afwijkende mening bij te hanteren. Het Slowaakse bedrijf vindt AI vooralsnog niet de heilige graal. Dit in tegenstelling tot wat sommige concurrenten de laatste tijd beweren. Het is ook geen marketing, maar de ontwikkelingen zijn volgens de securityspecialist nog niet zover. Wel investeert het bedrijf doelgericht in machine learning. Hiermee laat het zien dat slimmere en vooral geautomatiseerde malwareherkenning de toekomst is.

Ook op productgebied biedt ESET nu een compleet en overzichtelijk portfolio waarmee zakelijke eindgebruikers hun bedrijfsomgevingen kunnen beveiligen en, wanneer nodig, de hulp kunnen inroepen van experts. Hierdoor is het bedrijf zeer zeker on par met alle grote andere concurrenten en is dus terecht een wereldspeler van formaat geworden.