CylancePROTECT – najlepsze uzupełnienie tradycyjnej ochrony antywirusowej

Chyba każdy z nas kojarzy komunikat antywirusa marki Avast „baza wirusów została zaktualizowana”, który rozbrzmiewając z głośników o 2 nad ranem, przyprawiał o dreszcze niejednego nocnego marka.

W latach 90-tych sygnatury były podstawowym mechanizmem ochrony, wykorzystywanym przez wielu producentów oprogramowania antywirusowego. Zasada była prosta, kiedy pojawiało się nowe zagrożenie, laboratorium producenta po jego odnalezieniu rozkładało je na czynniki pierwsze i tworzyło odpowiednią szczepionkę (sygnaturę).

Następnie sygnatury były testowane i udostępniane wszystkim użytkownikom danego produktu, co w czasach ograniczonego dostępu do sieci było zadaniem niełatwym, a ponadto tworzyło czasową lukę w ochronie – każdy kto nie miał zaktualizowanego oprogramowania, nie mógł czuć się bezpiecznie. Taki stan rzeczy mógł trwać tygodniami, a złośliwe oprogramowanie często było nieświadomie przenoszone za pomocą dyskietek z komputera na komputer.

To wszystko działo się w czasach, kiedy nikt nie wyobrażał sobie zagrożeń na miarę Ransomware, CoinMiner, RAT, screen lockerów, exploitów etc.

Rynek cyberbezpieczeństwa i stojące przed nim wyzwania

Dlatego wraz z nowymi zagrożeniami producenci oprogramowania antywirusowego muszą tworzyć coraz to lepsze mechanizmy ochrony – moduły heurystyczne, sandboxing, systemy IDS/IPS, skanery pamięci, chmurę użytkowników itp.

Producenci muszą stale reagować na nieustannie rozwijające się szkodliwe oprogramowanie, niestety pomimo wysiłków i tworzenia coraz to bardziej zaawansowanych rozwiązań, oczekiwanie spowodowane tworzeniem nowego modułu, jego testy, wreszcie udostępnienie użytkownikom powoduje powstanie groźnych luk w systemie bezpieczeństwa.

Wtedy przed nowymi zagrożeniami chronią nas tylko mechanizmy dostępne w danym momencie, często są one nieprzygotowane na nowinki rozsyłane przez cyberprzestępców, np. w postaci „słynnej” już faktury.pdf, która po otwarciu przez nieświadomego użytkownika doprowadziła do infekcji złośliwym oprogramowaniem.

Należy pamiętać, że to właśnie użytkownik jest najsłabszym ogniwem wszelkich zabezpieczeń i to on musi być świadom, jakie zagrożenie może nieść za sobą np. otwarcie pliku nieznanego pochodzenia.

Świadomość użytkownika można budować poprzez szkolenia, procedury, polityki bezpieczeństwa i wszelkie inne działania administratorów, które tę świadomość podnoszą. Jednak edukacja użytkownika to nie wszystko, doskonale świadomość użytkownika uzupełniają np. nowoczesne technologie wykorzystujące Machine learning (ML) i sztuczną inteligencję (AI).

Sztuczna inteligencja w cyberprzestrzeni

Sztuczna inteligencja (AI) i machine learing (ML) – to pojęcia, które coraz częściej pojawiają się w świecie bezpieczeństwa IT, ale nie tylko! Czy wiesz, że w Chinach mechanizmy AI wykorzystywane są do rozpoznawania twarzy i umożliwiają płatności w sklepie? Bez gotówki, bez karty płatniczej, robisz zakupy, uśmiechasz się do terminalu… i to tyle!  Wszystko to dzieje się już dziś i jest tylko kwestią czasu, kiedy stanie się globalnym trendem.

W odróżnieniu od tradycyjnego antywirusa Next Generation Antivirus do swojego działania nie potrzebuje aktualizacji sygnatur, wielu obciążających system modułów i procesów, ani stałego dostępu do sieci w celu utrzymania najwyższego poziomu ochrony.

Antywirusem nowej generacji jest właśnie CylancePROTECT.

Produkt w swoim działaniu wykorzystuje gotowy model matematyczny stworzony przez algorytmy sztucznej inteligencji i machnie learningu, chroniąc hosta, na którym jest zainstalowany (Windows, Windows Server, MAC, Linux), czyli tego, który jest potencjalnym celem atakującego. Dzięki temu rozwiązanie to chroni przed zagrożeniami zero-day bez konieczności wykorzystywania wymienionych wcześniej tradycyjnych mechanizmów ochrony.

Udokumentowanym przykładem tego, jak skuteczny jest mechanizm CylancePROTECT jest atak z 27 czerwca 2017 r., gdzie administratorzy na całym świecie zderzyli się z brutalną siłą ataku ransomware. Zaszyfrowane serwery, bazy danych, serwery pocztowe i komputery użytkowników sparaliżowały nie jedną organizację, generując straty finansowe i wizerunkowe.

CylancePROTECT chroniło swoich użytkowników przed Petya już półtora roku wcześniej – 14.10.2015 r. to pokazuje jak skuteczny jest mechanizm AI stworzony przez firmę BlackBerry Cylance. To, w jaki sposób CylancePROTECT zachowywał się w obliczu Petya, możesz zobaczyć na własne oczy – film został stworzony w dniu globalnego ataku Petya:

Poza ochroną przed atakami typu zero-day, CylancePROTECT to dodatkowo:

  • inspekcja każdej aplikacji, która próbuje uruchomić proces w systemie użytkownika,
  • wbudowane mechanizmy kontroli uruchamianych skryptów,
  • zarządzanie podłączanymi do komputera urządzeniami przenośnymi z możliwością rozpoznania systemu mobilnego urządzenia (Android, iOS), utworzenia odpowiednich reguł zezwalających lub blokujących urządzenie do poziomu numeru seryjnego,
  • ochrona przed zagrożeniami wykorzystującymi pamięć komputera (ataki bez plikowe) z natychmiastową reakcją na wszelkie anomalie.

Rozwiązanie Cylance od kilku lat regularnie pojawia się w Magicznym Kwadrancie Gartner’a, w raporcie z 2018 r. dot. ochrony endpointów (EPP) znalazło się w ćwiartce wizjonerów – oznacza to między innymi to, że wg. Gartnera firma Cylance dostarcza innowacyjne rozwiązania wyprzedzające obecne trendy.