We Take Security Personally™

ESET MACHINE LEARNING

Bij ESET lopen ze net even voor op de rest

ESET MACHINE LEARNING

ESET Machine Learning

ESET Machine Learning

Bij ESET lopen ze net even voor op de rest: ESET Machine Learning

Je hoort steeds vaker over ‘machine learning’ of kortweg ML als een belangrijk component van cybersecurity. En dat terwijl we nog niet eens door hebben wat de echte mogelijkheden van ML voor cybersecurity ooit zou kunnen gaan betekenen. Maar ook, probeer wel een goed onderscheid te houden tussen feiten en fictie en tussen marketing en daadwerkelijke actie. Maar eerst een klein kijkje onder de motorkap bij ESET cybersecurity en de rol van ML.

De experts van ESET spelen al meer dan 20 jaar met de mogelijkheden van ML, sinds de komst van de eerste neurale netwerken in 1997. Sindsdien zijn er verschillende interne projecten geweest die waren gericht op automatische security analyses, gericht op het verdelen van die nieuwe virtuele wereld in ‘the good, the bad and the ugly’ (of zelfs de grijze gebieden zoals mogelijk ongewenste applicaties, PUA’s).

Een van de eerste plaatsen om ML effectief in te zetten was voor een geautomatiseerd expert systeem, speciaal ontwikkeld voor grote aantallen analyse verwerkingen. Het systeem hielp in 2006 om het groeiende aantal malware ontdekkingen snel te kunnen verwerken en de enorme werkdruk van engineers te verlagen. Jaren later zijn de mogelijkheden van dit systeem volledig geoptimaliseerd en is het een onmisbaar onderdeel geworden van de technologie voor de eerste indeling en classificatie van de honderdduizenden items die iedere dag weer worden opgenomen door het wereldwijde ESET LiveGrid systeem, door security feeds en uit de samenwerking met andere security leveranciers.

Een ander ML project dat achter de schermen van ESET alweer sinds 2012 meedraait, plaatst geanalyseerde items op de ’cybersecurity kaart’ en geeft aan welke items meer aandacht behoeven. Het was opvallend genoeg juist dit systeem dat een belangrijke bijdrage leverde in de recente WannaCryptor ontwikkelingen en dat in een vroegtijdig stadium al het zich snel verspreidende ransomware bestand wist aan te wijzen. Ondanks dat er al een systeem was gericht op ontdekking van EternalBlue exploits, hielp het ML systeem met additionele detecties om de bescherming van ESET klanten te verbeteren.

Maar ML blijft ook een bijzonder iets en niet alles lukt altijd volgens plan. Oudere projecten richten zich op het automatisch ontdekken van de DNA van eerdere malware ontwikkelingen, om zodoende gereed te zijn voor de toekomst. Deze ontwikkelingen gebruikmakende van ML zijn inmiddels achterhaald door andere, snellere technieken.

Er is veel geleerd en veel ervaring opgedaan en dit alles heeft geleid tot wat er nu is: een volwassen applicatie met machine learning technologieën, zowel in de cloud als op endpoint systemen.

En daar is Augur, het ESET ML beest
Bij ESET houdt men van historie – zelfs de naam ESET is afkomstig van een Egyptische godin – en daarom heeft men het ML systeem een bijpassende naam gegeven. In het oude Rome was een augur een religieus iemand die op basis van natuurverschijnselen beoordeelde of een bepaald iets een goddelijke goedkeuring kreeg of juist werd afgekeurd. Het vergelijk met cybersecurity is snel gemaakt, al bepaalt de ESET Augur zijn beslissingen op wetenschap, wiskunde en eerdere ervaringen.

Met een meer technische blik gekeken, spelen drie belangrijke factoren een rol bij dit succes:

  1. Door de komst van big data en goedkopere hardware is ML beter beschikbaar geworden, voor zowel medische toepassing, wiskundig of voor cybersecurity.
  2. Het toegenomen aantal ML algoritmes en de wetenschap erachter leidt tot een bredere inzetbaarheid en beschikbaarheid voor een ieder die het wil toepassen.
  3. Na drie decennia een gevecht te hebben gevoerd met de cyber-onderwereld en hun producten heeft ESET een moderne variant van de “Bibliotheek van Alexandrië”, gevuld met informatie over malware. Deze enorme database geeft een goed georganiseerd inzicht in de mogelijkheden en de DNA van alles dat al eerder is onderzocht – de ideale trainingsruimte voor de ESET Augur.

Met de snelle groei van algoritmes en toepassingen volgde ook de uitdaging om alleen het beste daarvan ook daadwerkelijk te gebruiken, aangezien niet alles optimaal werkt in de cybersecurity wereld.

Na vele testen blijkt de meest effectieve aanpak een combinatie van twee methoden:

  1. Neurale netwerken, specifieke ‘deep learning’ en veel ‘short-term’ geheugen
  2. Samengestelde rapportage uit zes nauwkeurig gekozen classificatie algoritmes

Ter verduidelijking: neem een willekeurig verdacht uitvoerbaar bestand. Augur zal als eerste het gedrag ervan emuleren en een aantal basis DNA-analyses uitvoeren. Daarna zal het bepaalde numerieke eigenschappen ervan herleiden, bekijken welke processen het wil starten en het DNA-overzicht bekijken om te bepalen in welke categorie het het beste past: schoon, mogelijk verdacht of kwaadaardig. Het is hierbij belangrijk om aan te geven dat het uitpakken van gecomprimeerde data, het gedrag ervan analyseren en de emulatie belangrijk is voor ML – het blijft anders net alsof je ruis moet indelen in een muzieksoort.

De groep classificatie algoritmes kent twee mogelijk instellingen:

De meer agressieve versie benoemt een bestand tot kwaadaardig wanneer de meeste van de zes algoritmes tot die conclusie zijn gekomen. Deze instelling wordt veel gebruikt door IT beheerders die de ESET Enterprise Inspector gebruiken, aangezien deze bestanden als verdacht kan aanmerken en de verdere afhandeling overlaat aan een ervaren engineer.

De mildere, meer conservatieve versie benoemt een bestand tot schoon wanneer tenminste één van de zes algoritmes tot die conclusie is gekomen. Dit wordt toegepast bij systemen voor algemeen gebruik waar minder technische expertise aanwezig is.

Plaatjes zeggen tegenwoordig meer dan praatjes, dus wanneer nog niet alles even duidelijk is, dan helpt dit overzicht wellicht:

En, toevallig of niet, Facebook blijkt op een zelfde manier gebruik te maken van ML als de architectuur waarop Augur is ontwikkeld, gericht op de beste combinatie van neurale netwerken en classificatie algoritmes.

En wat doet dit nu in de praktijk? Wat blijft er over van de ESET ML theorieën en aanpak in de recente malware aanvallen die gebruik maakten van de EternalBlue exploit om met zowel de WannaCryptor ransomware als de CoinMinermalware malware aan te vallen? Met de ESET netwerk detectie en signalering van andere ML systemen er buiten gehouden, bestempelde Augur voorbeeldcodes van beide soorten direct als kwaadaardig.

Wat zou Augur kunnen verrichten zonder al aanwezige kennis van recente malware of ransomware? Zelfs met een maand oude versie, dus zonder recente updates, wist Augur op basis van ML en trainingsgegevens zowel de malware als de ransomware als kwaadaardig te bestempelen – pure technologie dus.

30 jaar aan vooruitgang en innovatie in IT security heeft de mensen bij ESET geleerd dat sommige dingen niet vanzelf gebeuren of eenvoudig gaan, vooral niet in cyberspace, waar veranderingen snel plaatsvinden en het hele speelveld in enkele minuten kan veranderen. Machine learning, hoe mooi ook voorgespiegeld in marketing termen, zal dat niet snel veranderen. Daarom gelooft ESET er niet in dat ML goede en ervaren onderzoekers zal vervangen, dezelfde mensen als die aan de basis stonden van het systeem en zorgen voor verdere innovatie. Men is er trots op dat velen van hen bij ESET werken en helpen om computer gebruikers te beschermen tegen toekomstige bedreigingen.

“Secure Cyber Communications heeft vier WatchGuard Next Generation Firewalls als twee Clusters geleverd om de gegevensstromen te beveiligen en bedreigingen inzichtelijk te krijgen.”

- Project: Energieleverancier met meer dan 400.000 klanten

SecWatch