Saturday, August 12, 2017

Next-gen

Старый конь борозды не испортит
(Поговорка)

Полагаю, не мне одному и не раз приходила мысль о том, что неожиданности лучше врезаются в память. Поэтому, в рекламах допускают орфографические ошибки, да и прославиться значительно проще, если придумать какой-нибудь радикальный взгляд, что привело к появлению великого множества паранаук, псевдоисторических фильмов, новых прочтений и прочей почвы для "шокового маркетинга", когда эмоциональное потрясение\удивление\неожиданность\неготовность трансформируют в почти рациональные убеждения.

Примерно к таким же мыслям прихожу, когда читаю некоторые маркетинговые листовки о защитах нового поколения, включающих в себя все новомодные базворды: machine learning, artificial intelligence, deep learning, behavioral monitoring,..., next-generation. В этих же публикациях, как правило, не брезгают и покидаться грязью в "legacy AV", "signature-based" и т.п.

Что не так? Продолжим серию разоблачений...
Во-первых, по моему мнению "signature-based legacy AV" уже просто нет (если они еще остались, то скоро вымрут как динозавры). Против современных этак это не работает, это понятно, и надо быть полным невеждой, думая, что антималварные вендоры, кто всю свою историю занимаются поиском новых атак, чтобы в сложнейшей конкурентной борьбе, обеспечить свой detect rate, этого не понимают. Очевидно, производители АВЗ первыми сталкивались с новыми атаками и соответствующим образом развивали свои детектирующие технологии. Весной 2015, когда я работал еще в Заказчике, для меня эта логика была очевидной догадкой, сейчас, работая в Поставщике, я могу с уверенностью сказать - все, что можно продетектить и пролечить автоматически - продетекчивается и пролечивается автоматически, и, безусловно, "legacy" здесь недостаточно, поэтому ими все не ограничивается. Правда, не все можно обнаружить исключительно автоматически - но об этом дальше...

Во-вторых, "сигнатуры" могут быть не только на примитивные последовательности байтов, как многие думают. Они могут быть также и на поведение, "аномалия" - это тоже сигнатура - отклонение от такого-то порога, выход из такой-то статистической зависимости. На слайде 9 рассказывалось о концепции "ханта" - одного из множества используемых подходов к обнаружению - это некоторый квант аномального поведения (например, запуск командного интерпретатора из офисного приложения, или обращение в Интернет не от браузера, или несоответствие имени\пути файла его хешу и т.п.), совокупность которых анализируется при принятии решения о "подозрительности" того или иного наблюдения - это тоже сигнатура. В любом случае, если мы не говорим о каком-то самообучающимся машобуче, нам нужно автоматизированной системе пояснить, "что такое "хорошо", и что такое "плохо" - сигнатура - это один из распространеннейших способов такого пояснения.

В-третьих, есть масса фактов (раз, два, три, четыре, пять и т.п.) демонстрирующих, недостаточность, исключительно новомодных технологий. Тут масса причин: и то, что грань межу "целевой" и "обычной" атакой размыта (писали - вот подтверждение), и то, что и в целевых атаках используется "обычная" malware, и то, что есть миллион+1 вариант, когда никакими анализаторами аномалий нет возможности различить вредоносное поведение файла, и несравненно дешевле сделать детект на семейство файликов, чем стрелять по воробьям сложными математическими вычислениями (даже если они выполняются исключительно в облаке и не грузят endpoint), ... в общем, думаю, не надо быть гениальным, чтобы поверить, что разные технологии показывают разную эффективность в различных сценариях. Поскольку сценариев атак может быть великое множество, для обеспечения эффективности нужно иметь великое множество технологий и только их комбинация может дать желаемый результат. А все эти потуги возвышения "нового" за счет унижения "старого" - дешевый "технологический" маркетинг, попытки хоть чем-то обосновать "революционность" своего решения, что, на мой взгляд, в глазах думающего и понимающего потребителя имеет обратный эффект.

Именно поэтому новые технологии, использующие большие данные, машинное обучение, распределенные вычисления, облака - не вытесняют "легаси", а гармонично дополняют. А "новое поколение" - это не то, что реализует только новые подходы, а то, что реализует все, что показывает максимальную эффективность и результативность на современном ландшафте угроз.

Но даже и этого мало! Современные атаки реализуются людьми и противостоять им исключительно автоматически - невозможно, - все та же проблема с обходом средств защиты (новые навороченные автоматы, да, они более продвинуты, но, в любому случае, они - автоматы) и, поэтому, они [всегда, всегда, всегда] могут быть обойдены. И этот сценарий - компенсируется работой команды, не менее квалифицированной, чем атакующие, и использующей все эти новомодные средства не как стену за которую можно спрятаться, но как инструменты (оружие, если хотите) для активного обнаружения и противодействия.

1 comment:

Igor Gots said...

Только для приведения к общему понятийному аппарату - в "рабочем" ML, AI, DL и тп "ханты" принято называть факторами.
Подход тот же - расчитывается набор факторов, затем, на основании "магии", принимается решение о принадлежности события или цепочки к тому или иному классу, например.