Als iets eruitziet als een eend, zwemt als een eend en kwaakt als een eend, dan is het waarschijnlijk een eend. Dit gezegde gaat ook op voor malwaredetectie. Meer, dit principe is de basis voor de meeste moderne cyberdetectie-mogelijkheden, waarop ook artificiële intelligentie (ai) vertrouwt.
Het enige wat ai eigenlijk doet, is menselijke, logische besluitvorming toepassen op malwaredetectie. Het grote verschil zit in de verwerkingssnelheid en hoeveelheid informatie die wordt verwerkt. Een mens kan op basis van alle beschikbare data waarschijnlijk vrij gemakkelijk een goede en correcte beslissing nemen over potentiële malware, binnen een bepaalde tijd (waarbij tijd is gemeten in minuten en uren). Maar doorgaans is de informatie die beschikbaar is voor een ai niet consumeerbaar voor een mens. Ai is daarentegen goed in het nemen van beslissingen op basis van een grote hoeveelheid gegevens in zijn oorspronkelijke vorm. Daarnaast kan het deze beslissingen nemen in milliseconden in plaats van minuten of uren.
Daarom speelt ai tegenwoordig een belangrijke rol bij het detecteren van malware. Het neemt beslissingen zoals ook mensen die zouden nemen en stelt software in staat actie te ondernemen op basis van die beslissingen. Dit omvat ook de mogelijkheid om te controleren of iets malware is op basis van hoe het voelt en hoe het eruitziet.
Snellere detectie
Ook enkele van de meest succesvolle cybercriminelen vertrouwen waarschijnlijk op ai en machine learning (ml) om hun tools te trainen, zodat ze slachtoffers met succes kunnen manipuleren via geautomatiseerde aanvallen of social engineering. Er is altijd een machine nodig om tegen een machine te vechten. Daarom moeten bedrijven dezelfde intelligentie en snelheid gebruiken om deze criminele activiteiten op te sporen en zich hiertegen te verdedigen. Het doel is om een systeem in staat te stellen semi-menselijke beslissingen te nemen op basis van verschillende datapunten. Zo kan ai bijdragen aan snellere detectie van malware.
Alleen een wereldwijd cloudbeveiligingsplatform heeft voldoende schaal en rekenkracht om deze beslissingen toe te passen met de snelheid die nodig is om effectief te zijn. Bovendien heeft deze cloudbenadering een veel grotere verzameling data om uit te putten. Het doel is niet om het systeem onnodige complexiteit aan te leren, maar om bepaalde eigenschappen, zoals (virtueel) uiterlijk en geur over te brengen. Dit kan het systeem dan verrijken met andere contextuele factoren, zoals locatie, afwijkende gedragspatronen, het tijdstip dat iemand toegang tot gegevens vraagt en vergelijking van nieuw geregistreerde domeinen.
Door de kracht van een cloudbenadering en de mogelijkheid om inline-datastromen te scannen, is risicotransparantie in bijna realtime te bieden. Nog voordat de gegevens de medewerker bereiken, wordt automatisch besloten of er malware in verborgen zit. De inline-scan kan de responsetijden voor beslissingen over het doorzetten van datastromen naar de gebruiker verkorten en potentiële malware blokkeren. Door ai-modellen te trainen op de cruciale parameters voor het detecteren van malware, is het handmatig volgen van security-alerts door it-teams niet langer nodig. Daarnaast zou het aantal false positives drastisch moeten verminderen.
De magie ligt in het zodanig beïnvloeden van de ai dat deze optimaal gebruik kan maken van haar mogelijkheden op basis van de meest uitgebreide dataset. We moeten stoppen met te moeilijk denken en ervoor zorgen dat ai vandaag nog al zijn sterke punten kan benutten door alles wat lijkt op malware ook als malware te behandelen.