AI-brein van Deep Instinct voorkomt in ultravroeg stadium malware-aanvallen

Redactie WINMAG Pro
Aanvallen van hackers op netwerkomgevingen en endpoints nemen in hoog tempo toe en zijn steeds moeilijker te voorkomen en te bestrijden. Met deep learning, een vergevorderde AI-technologie, voorkomt het securitybedrijf Deep Instinct in een ultravroeg stadium dat malware een kans krijgt. WINMAG Pro sprak hierover met Rob Huikeshoven en Joost van der Spek van Deep Instinct.

De afgelopen maanden werd de wereld opgeschrikt door een groot aantal geruchtmakende cyberaanvallen die veel bedrijven in grote problemen brachten. Aanvallen die niet alleen gevolgen hadden voor de getroffen bedrijven, maar ook voor vele bedrijven die daarbij diensten afnamen. 

Deze stortvloed van cyberaanvallen die nu op bedrijven afkomt, maakt het voor security-experts lastiger deze tegen te gaan en snel op te lossen. Veel bestaande security-oplossingen, zoals next-generation antivirus (AV)- en Endpoint Detection en Response (EDR)-tools, gebruiken daarom kunstmatige intelligentie (AI) om de bestrijding te automatiseren.

Machine learning voor securitydoeleinden

Deze tools gebruiken hiervoor tegenwoordig steeds vaker de AI-technologie machine learning. Op basis van ingevoerde data, uit applicaties, devices, malware en legitieme software, wordt een algoritme gecreëerd. Aan dit algoritme worden door mensen zogenoemde ‘feature extractions’ toegevoegd. Deze feature extractions -die de betreffende tool uit updates of een cloudomgeving ophaalt- geven op basis van gevonden afwijkingen aan of er malware in het spel is. Vervolgens wordt een alert afgegeven waarop securityspecialisten kunnen handelen.

Deep Instinct’s AI-brein

De securityspecialist Deep Instinct pakt dit anders aan. In plaats van zijn security-oplossing machine learning te laten gebruiken, zet de specialist als eerste bedrijf in op de meer geavanceerde AI-technologie deep learning. 

De deep learning technologie, die ook door onder meer Google en Tesla wordt gebruikt, verwerkt zonder menselijke tussenkomst automatisch zelf grote hoeveelheden data en haalt hier vervolgens de feature extractions uit. Deze feature extractions worden ondergebracht in een zogenoemd zelflerend ‘AI-brein’ of -platform, min of meer vergelijkbaar met het menselijk brein. Het AI-brein herkent daardoor niet alleen alle feature extractions uit de geanalyseerde data, maar kan ook zelfstandig bepalen of gevonden afwijkingen bepaalde kwaadaardige eigenschappen hebben. 

Op deze manier kunnen kwaadaardige code, scripts, macro’s, bestanden of andere elementen automatisch worden geblokkeerd en aanvallen worden voorkomen. Het AI-brein van Deep Instinct beschermt zo alle endpoints, waar deze zich ook bevinden, on- of offline zijn en welk besturingssysteem ze gebruiken. Het ‘brein’ is hiervoor één enkele oplossing.

Training AI-brein

“Deep Instinct traint zijn AI-brein met grote hoeveelheden zelf verzamelde data uit threat intelligence-bronnen, het darkweb, data van legitieme software en ook zelfgeschreven malware”, geeft Senior Sales Engineer Benelux Rob Huikeshoven aan. “Dit in tegenstelling tot de vele beschikbare EDR-oplossingen, die hiervoor vooral van klanten afkomstige geanalyseerde data gebruiken. Wij gebruiken helemaal geen klantendata. Op basis van al deze data kan het Deep Instinct AI-brein leren en ‘voorspellen’ of gedrag of eigenschappen kwaadwillend zijn. Dit is de Predictive -functionaliteit van onze oplossing.”

Het AI-brein wordt getraind met behulp van grote hoeveelheden Nvidia GPU’s en tweemaal per jaar van een update voorzien.

Supersnelle analysetijd

Concreet is het AI-brein onderbracht in een superlichte agent van 150 Mb. Na een update van ongeveer 1 minuut naar de allerlaatste versie van het AI-brein, is de agent actief en start deze met zijn werkzaamheden. De client inspecteert vervolgens geheel autonoom verkeer en bestanden. 

“De agent kan in een fractie van een seconde bepalen of iets vreemd of kwaadaardig gedrag vertoont of niet. De client voert deze analyse uit in slechts 20 milliseconden. Dit is de meest snelle analysetijd die op dit moment op de markt is. De snelheid wordt onder meer bereikt doordat het Deep Instinct AI-brein geen kortstondig contact zoekt met een cloudgebaseerde database voor het signaleren of iets goed of slecht is. Het brein beschikt zelf al over deze kennis en past die naar eigen inzicht toe.”

“Dit in tegenstelling tot andere next-gen AV- en (EDR) tools die dit wel moeten doen. De supersnelle analysetijd geeft malware geen kans zichzelf naar disk weg te schrijven en te starten met zijn kwaadaardige activiteiten. Deep Instinct’s AI-brein lost aanvallen met malware ‘pre-execution’ op. Deze ‘Prevention’-functionaliteit is dan ook voor ons het belangrijkste”, geeft Rob Huikeshoven aan.

Minder false positives

De supersnelle analysetijd helpt ook met het reduceren van zoveel mogelijk ‘false positives’ of ten onrechte gemarkeerde malware-signaleringen. “Wij claimen een false positive rate van minder dan 0,1 procent. Securitytools die machine learning gebruiken, halen dit niet. Die hebben vaak een false positive rate van 1 tot 2 procent.”

Een lage false positive rate is interessant omdat het een indicatie geeft welke impact de securitytool heeft op de operationele werkzaamheden. Hoe hoger het aantal false positives, hoe meer bepaalde software wordt geblokkeerd en er niet kan worden gewerkt. Dit grijpt flink in op de dagelijkse werkzaamheden. Hoe minder false positives, hoe beter dus. 

Minder false positives zorgen er ook voor dat beheerders niet alle gemelde incidenten en events moeten navolgen en analyseren. “Doordat het AI-brein van Deep Instinct het aantal false positives beperkt -de ruis wordt weggenomen-, kunnen beheerders zich richten op de echte problemen. Dit scheelt uiteindelijk veel tijd en dus kosten.” 

Deep Instinct richt zich vanzelfsprekend op de zakelijke markt. “Dit zijn natuurlijk de grotere bedrijven, maar ook het mkb hebben we zeker iets te bieden. Cybersecurity is voor ieder bedrijf gelijk”, geeft Regional Sales Manager Benelux Joost van der Spek aan. “We verkopen ons product alleen via partners. Voor mkb-klanten hebben we een goed Managed Security Services Provider (MSSP)-programma. Dit programma helpt mkb-bedrijven met een eenvoudige instap, flexibiliteit beheersbaarheid. Alles wordt voor hen geregeld.” 

Geen vervanging maar toevoeging voor bestaande tools

De tool van Deep Instinct vervangt niet alle andere EDR of Endpoint Protection Platform (EPP)-securityoplossingen die bedrijven gebruiken. ”Onze tool is een mooie aanvulling. Als bedrijven EDR- en EPP-tools gebruiken, dan halen wij echt de ruis weg, zodat beheerders zich met deze tools op de echte problemen kunnen storten. Op deze manier wordt security een stuk overzichtelijker. Dit maakt ons AI-brein zo interessant”, besluit Rob Huikeshoven.

afbeelding van Redactie WINMAG Pro

RedactieWINMAG Pro | Redacteur

Bekijk alle artikelen vanRedactie