Význam umělé inteligence, strojového učení pro ochranu IT. Kde a jak ji správně použít? Bitdefender GravityZone René Pospíšil General Country Manager rene.pospisil@bitdef.cz René Pospíšil General Country Manager Ondřej Desenský Bitdefender CZ/SK Security Solution Architect ondrej.desensky@bitdef.cz
Co je to umělá inteligence?
Co je to umělá inteligence?
Agenda Aktuální stav Kybertnetické bezpečnosti Analýza chování (Behaviorální Analýza) Strojové učení aplikované v BA Výzvy aplikace strojového učení v Kybernetické bezpečnosti
Bitdefender je globální Technologický lídr Založen 2001 Zastoupení v ČR a SK od 2015
Aktuální stav Kybernetické Bezpečnosti
TOTAL MALWARE
MALWARE JE LUKRATIVNÍ BUSINESS 1425% ROI * Za každý investovaný $ hackeři vydělají 1 400 x více Příklad: Cryptolocker ($28 million in 4 months) CryptoWall: 380$ million za 1 rok Zdroj: The RAND Report
RANSOMWARE
ZRANITELNOSTI
CRYPTO MINERS
CRYPTOJACKING " praktika únosu CPU PC výkonu za účelem těžby kryptoměn.
RANSOMWARE VS CRYPTOJACKING Útočník může $$ jen z některých obětí Útočník získá $$ od každé oběti Útok je ihned viditelný Útok je skrytý 1 platba předem od oběti Může vydělat peníze na svých obětích na konci každého měsíce
VYSOKÉ FINANČNÍ ZISKY 0.25 za monero za den X 2,000 500 za den 182,500 za rok
Existuje řešení?
NEJSOU TO SIGNATURY
BEHAVIORÁLNÍ ANALÝZA
BEHAVIORÁLNÍ ANALÝZA SPOLÉHÁ NA POZOROVÁNÍ VLASTNOSTÍ SOUBORŮ
SLOŽKY B.A. VLASTNOSTI SOUBORŮ: STATICKÉ DYNAMICKÉ
Příklady STATICKÉ vlastnosti Velikost souboru Soubor je zabaleny neznámým packerem
Příklady STATICKÉ vlastnosti Soubor duplikuje sám sebe Spojuje se s neznámou adresou URL a Následně zkouší stáhnout spustitelný soubor
Dynamic feature example Connect to an unknown URL and try to download an executable
Extrakce hlavní funkce Emulace pro dynamickou extrakci funkce Emulace Spuštění (Exekuce) B-HAVE prostředí
B-HAVE VÍCE NEŽ 40 000 VZORCŮ CHOVÁNÍ Emulates the code (assembly instructions), see what it does, its intent and extracts the features Virtual environment to provide isolation/containment Patented Bitdefender technology on AntiMalware Emulation Systems and Methods (2012 & 2013).
LIDÉ NEDOKÁŽOU RYCHLE EFEKTIVNĚ ZPRACOVAT
STROJOVÉ UČENÍ TO DOKÁŽE
STROJOVÉ UČENÍ APLIKOVANÉ V KYBERNETICKÉ BEZPEČNOSTI
Dataset Zbytková data Detekované hrozby INPUT Tradiční bezpečnost Strojové učení Tréninkový dataset Čisté soubory Detekované soubory Aplikování ML (Algoritmů) VÝSTUP Nově detekované hrozby
Tréninková Data Mix čistých & infikovaných souborů. Čerstvé vzorky -> lepší detekce 0-dne Různé variace malware -> z vícero skupin Typický malware -> zástupce z každé skupiny díky tomu docílená přesnější detekce 500 Miliónů senzorů
150 + OEM Partnerství
Omezení strojového učení Technologické limity (stupeň detekce, False-Positives a vliv na zatížení ) Druhy útoků, které dovedou obejít ML: (file-less) bezsouborové útoky & interpretery Je to pouze jedna vrstva
ON-EXECUTION PRE-EXECUTION MNOHO VRSTVÁ NEXT-GEN ENDPOINT SECURITY HARDENING & CONTROL VÍCE-ÚROVŇOVÁ DETEKCE AUTOMATIZACE VIDITELNOST & REPORTY Application Control Signatury lokální a Cloud Lookup Zamezení přístupu Vlastní Reporty, Dashboardy a SIEM Integrace Content Control Machine Learning (Lokální & Cloud) Karanténa Indicators of Compromise Anti-Phishing HyperDetect Vyléčení / odstranění Podezdřelé Activity Firewall Sandbox Analyzer Device Control Anti-Exploit Ukončení procesu Threat Context Full-Disk Encryption Process Inspector Rollback Upozornění a Notifikace
GRAVITYZONE
Kompletní Portfolio 10/2018 PŘELOŽENO (B2C + B2B)
BITDEFENDER HVI
NOVÁ, VYLEPŠENÁ, GRAVITYZONE ULTRA (EDR, XDR) Enhanced Performance Root Cause Analysis GravityZone Ultra Enhanced Incident Triage Enhanced Incident Investigation Additional Response Actions Security Analyst Role MacOS support