Tweakers sprak op de Infosecurity-beurs in Utrecht met Mark Loman en met de 'Cyber Gandalf' van F-Secure, Andy Patel, over zogenaamde 'next gen antivirusproducten'. Volgens Patel gaat machine learning de beveiligingsprofessional niet vervangen.
Al enige tijd claimen verschillende bedrijven die zichzelf als 'next gen' antivirusbedrijven omschrijven, dat traditionele antivirusproducten ‘dood’ zijn. Daarmee doelen zij erop dat bijvoorbeeld het detecteren van malware op basis van signatures is achterhaald en dat er een nieuwe aanpak nodig is. Zowel Loman als Patel deelt deze zienswijze niet. Loman stelt: "Ik hoorde laatst iemand deze claims als 'lipstick on a pig' omschrijven, dat vond ik wel goed passen." Patel zegt: "Zij bieden in feite niets nieuws aan, maar doen het klinken alsof het nieuw is."
Zo beloven verschillende next gen-bedrijven malware te detecteren met behavioral analysis en machine learning. Daarover zegt Loman: "In feite gebruikt iedereen dezelfde termen voor verschillende technieken. Het fundamentele probleem is dat klanten de verschillen niet kennen en afhankelijk zijn van testorganisaties." Maar ook die zijn volgens Loman niet onfeilbaar, omdat deze maar op een beperkte manier testen. Bovendien zouden de nieuwe spelers op de antivirusmarkt vaak niet of maar eenmalig meedoen aan tests.
Patel stelt dat de next gen-bedrijven van alles kunnen claimen, maar dat zij 'veel aan de verbeelding overlaten'. Zo beschrijft zowel Loman als Patel dat het niet eenvoudig is om aan een product van deze bedrijven te komen, die zich bovendien niet op consumenten maar op grote bedrijven richten. "Het is niet mogelijk om naar de site te gaan en een proefversie te krijgen van hun software om te kijken hoe die werkt, daarvoor moet je je aanmelden bij de salesafdeling", legt Loman uit.
Een van de termen die vaak terugkomen, is machine learning. Patel en Loman leggen uit dat het een nuttige ondersteuning voor beveiligingsprofessionals kan zijn en zien de mogelijkheden van de techniek. Patel ziet het niet snel gebeuren dat deze techniek mensen gaat vervangen, omdat deze niet over dezelfde creativiteit en aanpak beschikt. Loman zegt dat lerende systemen op dit moment ‘binnen een uurtje’ te omzeilen zijn en dat zij vaak backdoors in legitieme bestanden over het hoofd zien.
“Machine learning is zo goed als de malwaresamples waar de systemen over beschikken”, zegt Loman. Die samples komen dan weer van de traditionele beveiligingsbedrijven vandaan. “De next gen-bedrijven leunen daarbij zwaar op de mensen die deze databases hebben opgebouwd”, licht Patel toe. “Wijzelf hebben bijvoorbeeld samples tot ongeveer 28 jaar terug.” Aan de hand van de voorbeelden kunnen de systemen leren om nieuwe vormen van malware te detecteren.
Op dit moment levert dat nog veel false positives op, waarbij een bestand als schadelijk wordt aangemerkt terwijl dat niet zo is. Dat komt bijvoorbeeld daardoor, dat pup’s als bedreiging worden gezien. Volgens Loman is het voor bedrijven inmiddels acceptabel geworden dat beveiligingssoftware veel false positives oplevert. Dit heeft te maken met de groei van polymorfe ransomware, die telkens een klein beetje afwijkt van een voorgaande versie en op die manier aan detectie ontsnapt. “Blijkbaar is de markt zo kritiek geworden, dat er fouten gemaakt mogen worden.”
Loman verkocht in december 2015 zijn in Hengelo gevestigde beveiligingsbedrijf SurfRight, vooral bekend van de HitmanPro-software, aan het Britse Sophos. Andy Patel is officieel de 'Cyber Gandalf' van het Finse beveiligingsbedrijf F-Secure en hield zich veel bezig met de ontwikkeling van eigen producten. Tegenwoordig publiceert hij regelmatig whitepapers en blogartikelen.