Deep learning als nieuwste wapen in de strijd tegen cybercrime

23-03-2018 | door: Diederik Toet

Deep learning als nieuwste wapen in de strijd tegen cybercrime

In de strijd tegen cybercriminelen zet securityleverancier Sophos sinds kort een nieuw wapen in. Aan de hand van predictive malware detection worden exploits en ransomware vroegtijdig herkend en onschadelijk gemaakt. Hiertoe voegt het bedrijf deep learning-technologie toe aan zijn prevention tool Intercept X, legt distributiemanager Harm van Koppen uit.

Deep learning gaat volgens Van Koppen een stuk verder dan de machine learning waarop veel huidige antivirus-oplossingen zijn gebaseerd. “Normaal is zo’n oplossing alleen in staat om bekende threats te herkennen en daarnaar te handelen. Dat gebeurt aan de hand van signatures, waarvan je telkens nieuwe toevoegt aan het systeem. Dit doet machine learning. Het leert van een machine en stelt daarmee andere machines weer veilig.”

“Bij deep learning laten we het systeem zelf nadenken. We begonnen met een lijst met kenmerken van schadelijke code en gedragingen, gebaseerd op wat we eerder hadden waargenomen. Vervolgens lieten we het systeem een groot aantal bestanden analyseren, sommige kwaadaardig en andere niet. De technologie herkent de malware, identificeert nieuwe kenmerken en voegt deze zelf toe aan het systeem. Telkens als een nieuw bestand langskomt, voorspelt het systeem op basis van alle kenmerken of hij goed- of kwaadaardig is.”

Geen false positives

De technologie achter de predictive malware detection is afkomstig van Invincea. Deze jonge Amerikaanse onderneming werd in februari 2017 overgenomen door Sophos. Van Koppen: “Het afgelopen jaar hebben we alle kennis uit Sophos Labs losgelaten op de leercurve van het Invincea-systeem. Daarna hebben we deep learning toegevoegd aan onze sandbox. Kortgeleden  integreerden we het product in de nieuwe versie van Intercept X.” Volgens de distributiemanager gebeurt de afhandeling van bestanden in milliseconden en wordt het aantal false positives tot een minimum beperkt.

Intercept X is de signature-less prevention tool die Sophos in september 2016 introduceerde. De lokaal draaiende toepassing scant alle processen op de laptop of desktop zonder daarvoor een externe database te hoeven raadplegen. Van Koppen vertelt dat in de markt veel vraag naar het product is. “De adoptie is heel groot. En dat is logisch. Ransomware en advanced malware nemen enorm toe en daar was tot dusver nog geen goed antwoord op. Onze oplossing werkt wel goed. Zo heeft geen van onze Intercept-klanten last gehad van Wannacry en NonPetya.”

Volgens Van Koppen is Sophos de enige IT-securityleverancier die deep learning inzet en zijn oplossingen voorziet van voorspellend inzicht. “Anderen zijn bezig met machine learning en met beslisbomen. Als dit, dan dat. Deep learning werkt met honderd miljoen beslisbomen tegelijkertijd, die elkaar ook nog eens allemaal terugkoppeling geven. Voor normale mensen is dit te complex om te bevatten.”

Gemak voor reseller en klant

Op de vraag of de toevoeging van zulk technisch vernuft de beveiligingsproducten niet te complex maakt voor de eindgebruiker en voor de kanaalpartners, reageert de distributiemanager resoluut. “Sophos heeft al vijf jaar het credo Security Made Simple. Wij zijn experts die de technische processen aan de achterkant inregelen. We zadelen de klant en de reseller niet op met uitdagingen. Onze software grijpt in en ruimt grondig op. De tools registreren en loggen bovendien alles, zodat onze partner de klant heel gemakkelijk kan uitleggen wat er is gebeurd en hoe het is hersteld.”

Alle organisaties die eerder Intercept X afnamen, krijgen de deep learning-technologie er kosteloos bij. “Ze hoeven het alleen maar te activeren met een schuifje”, zegt Van Koppen. Mede om die reden hebben ook kanaalpartners weinig omkijken naar de voorspellende uitbreiding van Intercept X. “Partners zien het succes van de tool en willen snel aan de slag met de aanvullende functionaliteit.”

‘Idiote groei’

Resellers die weinig bekend zijn met de producten van Sophos, kunnen hun kennis bijspijkeren tijdens online sales- en engineertrainingen. Ze kunnen dit vervolgens voortzetten met trainingen op architect-niveau. De drie Nederlandse Sophos-distributeurs Crypsys, Tech Data Security (voorheen Avnet) en NewChannel verzorgen deze klassikale trainingen.

Steeds meer partners leveren de securityproducten maandelijks vanuit de cloud. Voor deze verschuiving naar Software-as-a-Service biedt Sophos het partnerprogramma MSP Connect Flex. Van Koppen: “Dit groeit hier echt als een idioot. Voor Sophos is Nederland de grootste SaaS-markt na de VS, Canada en het Verenigd Koninkrijk.”

Beloning voor het kanaal

Volgens Van Koppen telt Sophos in Nederland ongeveer 450 resellers met jaarlijks minimaal vijf inkooporders. Zij maken sinds half november gebruik van een versimpeld partnerprogramma. Het aantal categorieën werd teruggebracht van zes tot vier en de inkoopkortingen verbeterd. “We willen het kanaal belonen voor wat ze voor Sophos doen. We hebben wel de minimale vereisten opgeschroefd. Met de nodige certificeringen en omzet uit Sophos-producten toon je je commitment.”

Voor kanaalpartners heeft Sophos meer in petto dan trainingen en kortingen. Zo organiseert de leverancier eind mei een Benelux-partnerconferentie van anderhalve dag. De afgelopen vijf jaar werd de conferentie in het buitenland georganiseerd, maar dit jaar volgt er dus eentje speciaal voor Benelux-partners in de buurt van Rotterdam. Het idee is dat het bedrijf op deze manier meer partners kan uitnodigen, aldus Van Koppen.

Nieuw risico: DDEauto

De partnerconferentie is een uitgelezen kans om te netwerken en nieuwe kennis op te doen. Zo zal worden stilgestaan bij bekende en nieuwe trends op het gebied van IT security, waaronder het toenemende misbruik van de functie DDEauto in Microsoft Office. Deze functie, enigszins vergelijkbaar met macro’s, maakt het mogelijk om bijvoorbeeld in een Word-document real time data vanuit Excel in te voegen.

Sophos Labs ziet sinds 2017 dat de DDEauto-functie regelmatig wordt misbruikt om vanuit een Office-applicatie malware op te starten zonder daarvoor een bijlage te openen, een bestand te downloaden of macro’s in te schakelen. Volgens Van Koppen vond afgelopen jaar ruim 4% van de gerichte cyberaanvallen plaats via de DDEauto-functie in Office. Hoewel Microsoft de kwetsbaarheid inmiddels heeft verholpen, wordt verwacht dat het misbruik voorlopig aanhoudt.

DDEauto, ransomware en specifieke malware in Android-apps zullen dit jaar dus weer veel slachtoffers maken. Door de toevoeging van preventive malware detection verwacht Sophos het risico op dergelijke digitale aanvallen flink te beperken voor zijn klanten. “Onze systemen voorkomen dat organisaties complexe en dure beveiligingsoplossingen moeten aanschaffen. Wij doen wat we moeten doen en ontzorgen de klant”, besluit Van Koppen.

Terug naar nieuws overzicht
Security