CHIPHi-Tech

Тренды > Цифровой интеллект

Умная защита от вирусов

Разработчики антивирусов с помощью таких ИИ-техник, как машинное обучение, создают защиту от вредоносного ПО. Однако у создателей вирусов есть важное преимущество.

Антивирусный бизнес сейчас на подъеме. Только в 2015 году, по данным компании Gartner, по всему миру было продано программ безопасности на сумму $22 млрд. Однако сколько бы средств ни тратили предприятия и частные пользователи, стопроцентной защиты не существует. Особенно «любимым» у разработчиков антивирусов подвидом вредоносного ПО являются программы-вымогатели. Так, только за третий квартал прошлого года было заблокировано 821 865 подобных атак на пользователей продуктов «Лаборатории Касперского». Ужасает при этом то, насколько злоумышленники успешны в своем деле: по информации этой компании, из-за отсутствия мер противодействия каждая третья жертва перечисляет хакерам выкуп — однако 20% таких пользователей никогда не получат от вымогателей код для дешифровки своих данных. На каждом пострадавшем преступники зарабатывают в среднем около 18 000 рублей — весьма выгодный бизнес.

Ежедневно появляются 300 000 новых видов вредоносного ПО — непрерывная игра в кошки-мышки для антивирусов. Стандартными базами сигнатур с опасностью справиться практически невозможно. Поэтому современные защитные решения делают ставку на анализ поведения. В этом случае защитное ПО в реальном времени проверяет, как ведет себя предполагаемый вирус на компьютере. При подозрительных обращениях сканер блокирует программу и уведомляет об этом пользователя. Проблема: злоумышленники разрабатывают методы для обхода эвристики — например, укрывая своих шантажистов в серьезных продуктах. Положить конец такому принципу действия способны только совершенно новые техники.

Различные методы сканирования должны помочь

В современные коммерческие продукты безопасности интегрирована защита от программ-вымогателей. Она в реальном времени постоянно сканирует систему на наличие странных обращений к файлам. Одновременно с этим проверяются показатели системы, выясняется, не повышается ли внезапно нагрузка на процессор и не возрастает ли стремительно число обращений к дискам (первые индикаторы атаки). В официальных заявлениях утверждается, что разработчики антивирусов знают свое дело и гарантируют эффективную защиту от нападений. Однако инсайдеры шепотом рассказывают, что и у этой технологии есть слабые места: кибергангстеры последовательно устанавливают на изолированную систему все распространенные антивирусные решения, а затем спокойно разрабатывают идеальный вирус, который не будет замечен сканером и сможет обмануть даже самую современную эвристику.

Против таких, разработанных с большими усилиями, вариантов практически любой антивирусный продукт бессилен. Несмотря на то, что разработчики в течение нескольких часов после распространения вируса подготавливают защиту, к первым пострадавшим противоядие попадает слишком поздно. Виноват в этом человеческий фактор: специалистам по вредоносному ПО необходимо вручную разобрать новый вирус, проанализировать его и подготовить описание, которое попадет на систему клиента при обновлении. В случае со сложными «вредителями» процесс может занять несколько дней. На анализ особо изысканного творения преступников могут уйти даже месяцы. Некоторые разработчики видят будущее вирусного анализа в отказе от человеческого фактора: в центре будут находится машины, распознающие вредоносное ПО и запускающие соответствующее обновление.