Результат — вот что действительно имеет значение, когда речь идет об искусственном интеллекте (AI) в кибербезопасности.
Доступ к генеративному AI есть не только у специалистов по безопасности, а и у киберпреступников. Поэтому ландшафт угроз меняется, а потребность в оценке относительной эффективности решений для кибербезопасности на основе AI становится все важнее и более комплексной. Правильные вопросы помогут вам найти решения, которые принесут пользу и окупаемость инвестиций, а не просто маркетинговый хайп. Например, "Могут ли ваши прогнозирующие/предиктивные AI-инструменты в достаточной степени блокировать новые угрозы?" И "Что на самом деле свидетельствует об успехе платформы кибербезопасности на основе искусственного интеллекта?" 
Как свидетельствует портфель патентов BlackBerry в сфере AI и ML (машинного обучения), компания является лидером в этой области и имеет чрезвычайно обоснованную точку зрения на то, что работает и почему. В этом блоге мы раскроем эту актуальную тему.

Развитие AI в кибербезопасности

Одно из первых применений ML и AI в кибербезопасности относится ко временам разработки платформы для защиты конечных точек CylancePROTECT® EPP (endpoint protection platform) более десяти лет назад. Однако прогнозирование и предотвращение новых атак вредоносного программного обеспечения является, пожалуй, более важным сегодня, поскольку генеративный AI помогает злоумышленникам быстро писать и тестировать новый код. Последний отчет BlackBerry Global Threat Intelligence Report показал, что количество новых атак вредоносного ПО выросла на 13% по сравнению с предыдущим кварталом. Предотвращение этих атак является постоянным вызовом, однако эволюция атак соответствует эволюции технологий.
Команды BlackBerry, занимающиеся наукой о данных и машинным обучением, постоянно улучшают производительность и эффективность моделей для предиктивных инструментов искусственного интеллекта. Недавние сторонние тесты показали, что CylanceENDPOINT® блокирует 98,9% всех угроз, поскольку он может активно прогнозировать поведение вредоносного программного обеспечения, даже если это совершенно новый вариант. Достичь такого уровня эффективности сложно, и это требует точного обучения модели на правильном типе индикаторов. 
В течение последнего десятилетия BlackBerry постоянно внедряет инновации, экспериментирует и совершенствует AI. Компания достигла многих положительных изменений, включая переход от контролируемой маркировки человеком в ранних моделях к комбинированному подходу к обучению, включающему неконтролируемое, контролируемое и активное обучение — как в облаке, так и локально на конечных точках, которые нуждаются в защите. Вендор также оптимизировал атрибуты и наборы данных, которые используются для обеспечения наилучших результатов прогнозирования, после изучения чрезвычайно больших объемов данных в течение длительного времени. Результатом этой непрерывной эволюции стала модель, которая очень хорошо подходит для реального применения. Эта модель, которая может точно прогнозировать и предсказывать новые угрозы.

Временное прогнозируемое преимущество ML-моделей во времени

Дискуссии о качестве и эффективности моделей ML часто вращаются вокруг размера модели, количества параметров и производительности на установленных тестовых данных. При этом не учитывается время — самый важный результат, который может обеспечить качественный AI. 
В определенных доменах, таких как речь, видение, задачи категоризации и идентификации объектов, оценивать время не критично важно. Однако в кибербезопасности время имеет решающее значение для выявления угроз в контексте защиты от вредоносного программного обеспечения до его выполнения. Именно здесь модели обнаруживают и блокируют вредоносное программное обеспечение до того, как оно развертывается и выполняется. 
Наряду с прогнозированием поведения злоумышленника с помощью машинного обучения, валидация модели должна учитывать временную устойчивость, где она доказывает свою эффективность против прошлых и будущих атак. Одной из важнейших метрик в этом контексте является прогностическое преимущество модели во времени. Временное прогнозирование преимущество (Temporal Predictive Advantage, TPA) — это термин для оценки производительности моделей Cylance против будущих угроз. 
Эта концепция связана с оценкой алгоритмов безопасности или конструкций шифров, которые измеряют криптографическую временную инвариантность — другими словами, является ли реакция системы на входной сигнал предсказуемой и правильной, независимо от того, когда этот входной сигнал появился. 
Вот пример: поскольку мы не можем перемотать время назад или вперед, мы тренируем модели, используя классы вредоносных программ из прошлого, и тестируем их против более новых. Целью такого временного тестирования является проверка общей производительности во времени, что имеет решающее значение для обнаружения защиты "нулевого дня". Это тестирование помогает нам тренировать архитектуру модели и оценивать ее способность обучаться и обнаруживать злонамеренные намерения. 
Целесообразно задать вопрос: "Почему это важно?". В конце концов, модели могут часто обновляться в облаке, откуда обычно обслуживается большинство из них. Однако есть много конечных точек - например, в IoT, регулируемых отраслях, или отсоединенных и даже намеренно физически разделенных конечных точках, которые не подключены к облаку. В этих случаях обновление моделей не всегда возможно. В моделях ML, которые в значительной степени зависят от облачных технологий, потеря связи может значительно снизить уровень обнаружения. Однако недавний сторонний анализ показал, что благодаря тому, как построена модель BlackBerry Cylance, обнаружение вредоносного ПО и постоянная защита происходят на одинаковом уровне независимо от наличия подключения к сети. Мы используем облачные технологии, но не зависим от них. 

И еще одно важное замечание: если ваш поставщик настаивает на частых обновлениях модели, это может свидетельствовать о незрелости модели ML. Без обновлений эта модель может претерпеть более быстрое отклонение — потерю предиктивной способности — и количество пропусков классов вредоносного ПО будет стремительно расти. В противоположность этому, приведенный ниже график иллюстрирует TPA в месяцах, когда модель Cylance четвертого поколения тестировалась против новых классов вредоносного программного обеспечения. Как долго в будущем она могла обнаруживать и блокировать угрозы без обновления модели?
Защита длилась до 18 месяцев без обновления модели. Опять же, это свидетельствует о зрелости модели и точном обучении модели. Это не происходит случайно.

Диаграмма 1 - Временное прогнозированое преимущество для AI-модели Cylance четвертого поколения. Она показывает, как долго в будущем защита длится без обновления модели. В этом случае от 6 до 18 месяцев. 

Зрелый AI прогнозирует и предотвращает будущие уклоняющиеся угрозы

CylanceENDPOINT отличается новой технологией вывода ML-модели. Она может сделать вывод, или "вычислить", является ли что-то угрозой, даже если она никогда не видела этого раньше. Подход BlackBerry использует уникальный гибридный метод распределенного вывода, концепция которого была разработана семь лет назад, еще до появления библиотек ML и инструментов для работы с моделями. Результатом этого подхода стала последняя модель, которая является вершиной инноваций и улучшений на протяжении многих поколений. 

Чтобы увидеть, как зрелый искусственный интеллект обнаруживает вредоносное программное обеспечение, посмотрите на пример обнаружения вредоносных Sality и Parite. Это полиморфные варианты вредоносных программ, которые создают несколько версий, пытаясь избежать обнаружения. Их очень трудно обнаружить с помощью обычных методов, таких как сигнатуры и эвристики, или с помощью незрелых методов машинного обучения. Не все модели AI и ML созданы одинаково, независимо от того, как они продвигаются на рынке.
RedLine Infostealer появилось в начале 2020. Это вредоносное ПО-как-услуга с высоким уровнем репликации. Оно часто скрывается в ChatGPT, Bard, Facebook ads и т.д.

Диаграмма 2 - На этом графике показаны классы вредоносных программ за 30 дней, обнаруженных в системе Cylance. Некоторые из этих классов являются новыми и обновленными и не встречались ранее. Несмотря на это, модель обнаруживает их.

Можно ли его легко обнаружить? На диаграммах ниже показана эффективность модели против двух классов: полиморфного вредоносного ПО класса Sality и ПО-как-услуги класса RedLine. (Примечание: PE4C, PE6E и PE7D — это поколения модели, причем PE7D является самой новой).

Диаграммы 3a и 3b - На этих графиках показаны несколько поколений модели Cylance и их высокие показатели разоблачения полиморфного ПО Sality (слева) и RedLine Infostealer (справа), даже когда модели ML уже несколько лет. 

В этих результатах очень хорошо просматривается преимущество TPA-моделей. В шестом поколении, выпущенном более трех лет назад, модель идентифицирует или "осуждает" вредоносное ПО, а последнее обновление модели Cylance осуждает более 99% новых вариаций RedLine (на этом графике чем больше, тем лучше). 
Ниже приведены несколько дополнительных графиков производительности моделей для конкретных классов интересных программ-вымогателей, таких как LockBit (слева) и Maze (справа). Эти результаты демонстрируют аналогичное предиктивное преимущество ML моделей Cylance. Стоит также отметить, что последняя версия модели, PE7D, разоблачает более 99% этих вариантов.

Диаграммы 4a и 4b - на этих графиках показаны несколько поколений модели Cylance и их высокие показатели по разоблачению вредоносных программ LockBit (слева) и Maze (справа), даже если модели ML уже несколько лет. 

Теперь давайте расширим эти результаты и посмотрим на общую эффективность моделей против всех классов вредоносных программ, которые наблюдались в течение 30-дневного периода. Взгляните на диаграмму ниже, где меньшее значение - это меньшее количество "пропусков" в блокировке.
Если простыми словами — процент ошибок. Это означает, что модель не осуждает штамм вредоносного ПО, поскольку ошибочно идентифицирует его как демонстрирующий доброкачественное поведение. В этом случае более низкий показатель является лучшим, поскольку он отражает процент пропусков от общего количества. Уровень пропусков модели последнего поколения составляет менее 0,005%, а результаты предыдущих поколений — менее 0,01% во всех категориях, наблюдавшихся в течение 30-дневного периода для последних типов вредоносного программного обеспечения. 

Диаграмма 5 - Этот график демонстрирует чрезвычайно низкий уровень ложных пропусков в разных поколениях моделей Cylance. Это когда модель не распознает программы как вредоносные, поэтому чем ниже, тем лучше. 

Прогнозирование вредоносных программ: Самая совершенная модель Cylance

Благодаря доступу к огромным и разнообразным наборам данных, которые состоят из петабайтов информации и наблюдения за поведением вредоносных программ во времени, новейшая модель Cylance является также самой мощной версией на сегодня. Она превзошла всех своих предшественников по различным показателям эффективности, включая преимущество во временном прогнозировании. 
После того, как было оценено более 500 миллионов образцов по миллиардам функций, а также по результатам выводов предыдущих поколений, фиксирующих инсайты с течением времени, AI BlackBerry Cylance продолжает демонстрировать отличные результаты. Он может похвастаться исключительной скоростью, поскольку поддерживает распределенный вывод как локально, так и в облаке. 
BlackBerry уже давно применяет машинное обучение в кибербезопасности, и продолжает развивать инновации в этой области. Поскольку злоумышленники все больше привлекают искусственный интеллект, сейчас как никогда важно обеспечить оборонительную позицию по кибербезопасности, сосредоточенную на весомых результатах.
С момента своего создания Cylance AI защищает предприятия и правительства во всем мире от кибератак, имея многолетнее преимущество в прогнозировании. Cylance AI от BlackBerry помогает клиентам останавливать на 36% больше вредоносных программ, в 12 раз быстрее и с в 20 раз меньшими накладными расходами, чем у конкурентов. Эти результаты демонстрируют, что не все AI одинаковы. И не весь AI — это Cylance AI. 
Если, у вас остались вопросы по работе Cylance AI или вас интересуют решения BlackBerry, пишите на электронный адреc moc.hcetokab%40yrrebkcalb и наши инженеры с радостью помогут.