È appurato che gli antivirus non sempre siano in grado di proteggerci. In uno studio del 2012, il giornalista esperto di sicurezza Brian Krebs ha riscontrato una efficacia dei principali antivirus allora in uso di circa il 20%, ovvero ogni cinque tentativi d'infezione solo uno veniva segnalato e bloccato!
Dal 2012 ad oggi sono stati condotti diversi altri studi per dimostrare l'efficacia degli antivirus, usando metodologie differenti e con risultati differenti che dimostrano che gli antivirus di vecchia generazione hanno una efficacia superiore al 90%. Sicuramente un bel passo avanti dal 20% del 2012.
La domanda che ci si pone adesso è relativa alle possibilità di miglioramento fornite dalle tecnologie di Intelligenza Artificiale.
Gli antivirus di vecchia generazione si basano principalmente sull'uso di elementi di riconoscimento tipici delle infezioni già individuate, ovvero:
- uso di firme associate al malware. Si tratta di comparare la presenza di una o più caratteristiche del software sconosciuto con quelle di software malevoli già noti, per esempio una determinata sequenza di comandi o una particolare sequenza di codice;
- analisi euristica. Si basa sul verificare la presenza di elementi simili (ma non uguali) tra il software sconosciuto e famiglie di malware. Questo metodo si appoggia sulla constatazione che molti virus sono simili tra loro e lo stesso può dirsi del loro comportamento;
- reputazione dei file. SI basa sulla categorizzazione dei file conosciuti e la gestione e condivisione delle informazioni disponibili verso gli utenti.
Tutte queste tecnologie sono chiaramente basate sulla conoscenza e analisi di malware esistenti, ma sono in linea di massima poco utili nel caso di nuovi malware.
Per essere efficaci su malware di nuova concezione occorre sviluppare altre tecnologie e l'Intelligenza Artificiale può essere utile.
Una società americana con quartier generale a New York, "Deep Instinct", fondata nel 2015 utilizza il deep learning per cercare di prevenire attacchi dovuti a malware ancora sconosciuti e sembra essere sulla buona strada.
Vediamo di capire assieme come funziona e per farlo utilizziamo uno schema disponibile sul loro sito.
In questa immagine è possibile vedere l'architettura della piattaforma basata su una rete neurale che si trova presso il laboratorio di Deep Instinct (in alto) e rappresenta il cuore pulsante dell'architettura di sicurezza. La rete neurale è in continuo apprendimento e grazie ad essa è possibile avere un modello predittivo sempre aggiornato, che è chiamato D-Brain.
Il modello predittivo viene distribuito su tutti i client che vogliamo proteggere. Ciò consente l'esecuzione di analisi statistiche e comportamentali e di usare tutta la "conoscenza" impiegata per la creazione e l'aggiornamento del modello sia per individuare malware già noti ma soprattutto per individuare quelli non ancora noti. Infatti la piattaforma è collegata ad un database (D-Cloud) che comprende le informazioni sulla reputazione di miliardi di file.
È chiaro che in un sistema siffatto è necessario che il numero dei falsi positivi (rilevazione di un malware quando questo non lo è) deve essere mantenuto a livelli bassissimi, bloccare l'esecuzione di un file benevolo può essere infatti altrettanto pericoloso del non bloccare un file malevolo.
È importante notare che la verifica della presenza del possibile malware viene fatta nella cache del sistema, ovvero prima che il malware possa aver accesso al disco rigido.
La piattaforma di Deep Instinct è un esempio di come l'AI possa aiutare il mondo della cyber security prevenendo le infezioni prima che queste possano infettare il sistema.
Per approfondire:
- How useful is antivirus software? | Computerworld
- A Closer Look: Email-Based Malware Attacks – Krebs on Security
- When it Comes to Antivirus, Herd Immunity Works for Cattle and PCs | PCMag
- Existing Evidence for the Effectiveness of Antivirus in Preventing Cyber Crime Incidents (gsu.edu)
- What is Heuristic Analysis in Antivirus? Definition, Advantages, and More (computertechreviews.com)