I když je běžnou praxí sdílet metodiky a poznatky v oblasti AI napříč různými průmyslový odvětvími, kybernetická bezpečnost v tomto úsilí zaostala a vytvořila těžko pochopitelný obraz toho, jak AI opravdu poskytuje ochranu před kybernetickými hrozbami. Společnost Sophos a její tým datových vědců SophosAI katalyzují tuto změnu směrem k otevřenosti, takže IT manažeři, bezpečnostní analytici, finanční i generální ředitelé a ostatní manažeři, kteří rozhodují o nákupu nebo řízení zabezpečení, mohou diskutovat a hodnotit výhody AI z úrovně dobře informovaných hráčů.
„Díky nové iniciativě SophosAI, směřující k otevření výzkumu, můžeme pomoci ovlivnit, jakou má AI pozici a jak se o ní diskutuje při pokroku v kybernetické bezpečnosti. Dnešní kakofonie neprůhledných nebo střežených tvrzení o schopnostech nebo účinnosti AI v různých řešeních, znemožňuje kupujícím tato tvrzení pochopit nebo potvrdit. To vede ke skepsi kupujících a vytváří překážky budoucího pokroku ve chvíli, kdy začínáme zaznamenávat průlomové objevy,“ řekl Joe Levy, technologický ředitel společnosti Sophos. „Korekce prostřednictvím externích mechanismů, jako jsou standardy nebo regulace, ale nenastane dostatečně rychle. Místo toho to vyžaduje snahu zdola a sebekontrolu v naší komunitě, abychom vytvořili soubor postupů a jazyků, které tento obor rozvinou disruptivně, otevřeně a transparentně.“
Je obtížné definovat kritickou důležitost tohoto posunu, vzhledem k obrovskému potenciálu toho, jak může AI kybernetické bezpečnosti prospět. Důkazy předložené společností Sophos ukazují, že obránci stále častěji čelí lidským protivníkům, kteří neustále zdokonalují svoje postupy, spouštějí vysoce sofistikované kampaně s cílem kompromitovat podnikový e-mail a neúnavně vyvíjejí nové ransomwarové útoky. Škálovatelná a účinná obrana proti těmto i většině ostatních typů kybernetických útoků vyžaduje pomoc od AI. Otevřenost a vzájemné hodnocení mezi těmi, kdo používají AI k řešení těchto bezpečnostních hrozeb, stimuluje inovace i objevy a pohání celé odvětví vpřed.
Sophos poskytuje datové sady, nástroje a metodiky ve čtyřech důležitých oblastech:
Datová sada SOREL-20M pro urychlení výzkumu detekce malwaru
SOREL-20M, společný projekt mezi SophosAI a ReversingLabs, je datová sada v produkčním měřítku obsahující metadata, štítky a funkce pro 20 milionů souborů Windows Portable Executable (PE). Zahrnuje deset milionů deaktivovaných vzorků malwaru, které jsou k dispozici ke stažení za účelem výzkumu extrakce funkcí pro urychlení vylepšení zabezpečení v celém odvětví. Tato datová sada je první datovou sadou pro výzkum malwaru v produkčním měřítku dostupná široké veřejnosti s vybranou a označenou sadou vzorků a metadat relevantních pro zabezpečení.
Metoda ochrany před zosobněním založená na AI
Ochrana před zosobněním od SophosAI je navržena tak, aby chránila před e-mailovými útoky typu spearphishing, kdy jsou zosobněni vlivní lidé, aby přiměli příjemce provést nějakou škodlivou akci ve prospěch útočníka. Tato nová ochrana porovnává zobrazované jméno v příchozích e-mailech se jmény nejvyššího managementu – tedy lidí, u nichž je největší pravděpodobnost, že budou součástí spearphishingového útoku, jako jsou generální nebo finanční ředitel a kteří jsou jedineční pro konkrétní organizaci, a tyto zprávy označí, pokud se jeví jako podezřelé. Sophos vytrénoval AI pracující na pozadí na velké sadě milionů vzorků známých útočných e-mailů. SophosAI nyní otevírá tuto novou inovativní metodu ochrany, která byla rovněž veřejně diskutována na Defcon 28 a také v dokumentu Arxiv.
Digitální epidemiologie k určení nezjištěného malwaru
SophosAI vytvořila také soubor statistických modelů inspirovaných epidemiologií pro odhad celkové prevalence malwarových infekcí, což umožňuje společnosti Sophos odhadnout – a tím i zvýšit šanci najít – jehly v kupce sena PE souboru. SophosAI jako průkopník veřejně zpřístupňuje tuto metodu, která pomáhá určit škodlivou „temnou hmotu“, tedy malware, který by mohl být opomenut nebo nesprávně klasifikován, a „budoucí malware“, který útočníci teprve vyvíjejí. Tento model je navržen tak, aby byl rozšiřitelný na další třídy souborů a artefakty informačního systému a je popsán ve studii Sophos 2021 Threat Report.
Nástroje na generování automatického podpisu
Generování signatur pro detekci rodin malwaru je pracný manuální proces. V průběhu let vědci navrhli řadu metod automatického generování signatur, z nichž většina nebyla využita, protože jsou oproti manuálním metodám nedostatečné. V rámci SophosAI byla vyvinuta nová metoda na automatické generování signatur nazvaná YaraML, která se od předchozích možností výrazně liší tím, že k problému přistupuje na základě AI. SophosAI přímo „kompiluje“ plnohodnotné modely strojového učení s výkonem průmyslové úrovně, jaké se používají v komerčních bezpečnostních produktech, do jazyků signatur, což v podstatě umožňuje AI tyto signatury „psát“. To se ukazuje být mnohem efektivnější než předchozí přístupy a pro bezpečnostní komunitu to představuje zásadní průlom. Iniciativa SophosAI uvolnila zdrojový kód YaraML.
Toto jsou čtyři oblasti pokroku poskytnuté iniciativou SophosAI, která pracuje kreativně jako start-upový inkubátor, ale s intelektuálními zdroji globální společnosti v hodnotě téměř miliardy dolarů, včetně SophosLabs, Sophos Managed Threat Response a stovek tisíc zákazníků. Další výhodou je, že SophosAI může přidávat nové technologie přímo do dodávaných produktů. Tento model umožňuje společnosti Sophos rychle reagovat na potřeby trhu, předvídat, kam musí odvětví směřovat, a posílit otevřenost pro větší spolupráci a inovace v oboru kybernetické bezpečnosti, což je při vývoji obrany proti rychle se rozvíjejícím protivníkům zásadní.