29 maart

Endpointsecurity kan niet zonder machine learning

Vorig jaar vond op de hackerbeurs Defcon een opvallend experiment plaats: twee hackerteams namen het tegen elkaar op met zelflerende algoritmes als wapens. Dergelijke technologie kan de beschermingsgraad van endpointsecurity-oplossingen naar nieuwe hoogten tillen. Staan we aan de vooravond van een nieuw securitytijdperk?

Deze oplossingen zetten al jaren binnenkomende en uitgaande datapakketjes af tegen een centrale database met handtekeningen van malware. Herkent de software een specifieke codestring, dan wordt het proces stopgezet. Ook de verdediging tegen schadelijke URL’s en spam werkt op die manier.

Detectie malware steeds ingewikkelder

Deze methode heeft een aantal nadelen.

  • Cybercriminelen schrijven in rap tempo nieuwe malware en vinden in dezelfde versnelling nieuwe ingangen en lekken in veelgebruikte software. Komt een dreiging niet voor in de database, dan heeft de aanvaller vrij spel.
  • Hackers hanteren slimme trucs. Denk aan het gebruik van polymorfe malware: kwaadaardige software die constant van ‘uiterlijk’ verandert om zo detectie te voorkomen. De vaste set handtekeningen loopt hierdoor permanent achter.
  • IT-afdelingen hebben te maken met een hoge druk. Zelfs het strengste patchbeleid is niet opgewassen tegen softwarelekken die nog niet eerder zijn ontdekt of uitgebuit. Ook het plaatsen van de signatures in de cloud, zoals veel fabrikanten de afgelopen jaren hebben gedaan, blijft een belangrijke achilleshiel houden.
  • Nieuwe malware moet eerst daadwerkelijk ergens huishouden voor het op de blacklist terechtkomt en detectie mogelijk is. Aanvallen met ‘zero-day malware’, waarbij hackers nieuwe malware inzetten die nog niet op de wereldwijde zwarte lijsten staan, zijn dan ook een machtig wapen.

Het moet anders

De securityindustrie ziet gelukkig in dat het anders moet, en steeds meer fabrikanten nemen hun verantwoordelijkheid. Machine learning is daarbij een belangrijke nieuwe ontwikkeling. Zelflerende algoritmes kunnen informatie inwinnen over naderende exploits.

Daarnaast kunnen de algoritmen securityvoorzieningen versterken met een intelligentie die verdergaat dan de traditionele handtekeninggebaseerde herkenning. Zo bouwde een team van Arizona State University een systeem dat het darknet en deepnet afluistert om informatie te verzamelen over zero-day exploits voordat deze in het wild zijn losgelaten.

Ook endpointsecurity kan van die aanpak profiteren. Een treffende analogie daarvoor is die van een uitsmijter. Een handtekeninggebaseerd systeem voor de beveiliging van endpoints is als een uitsmijter die probleemgevallen probeert te weren aan de hand van uiterlijke kenmerken. Gezichten op de zwarte lijst komen er niet in.

Oordelen op gedrag

Machine learning voegt daar intelligentie aan toe: het hanteert voor bekende probleemgevallen de zwarte lijst, maar kijkt daarnaast goed naar iedereen die nooit eerder in de rij stond. Daarbij let de uitsmijter op bijvoorbeeld de lichaamshouding en typische gedragingen, zoals de manier waarop mensen om zich heen kijken. Ervaringen uit het verleden helpen de uitsmijter om probleemveroorzakers steeds beter te herkennen, nog voordat ze schade kunnen aanrichten binnen de muren van de club.

Volg het seminar Adaptive Threat Protection

Wilt u weten hoe machine learning ook uw data kan beschermen tegen zero-day malware? Bekijk de webinar van DearBytes over ‘Adaptive Threat Protection’ en de machine learning-module in het endpointsecurityplatform ENS 10.

Gerelateerde artikelen