De markt voor Next Generation Endpoint Protection is enorm in beweging. De praktijk leert dat traditionele AV meestal onvoldoende in staat is om geavanceerde malware tegen te houden. Nieuwe technieken, zoals machine learning, isolatie en kunstmatige intelligentie (AI) beloven Endpoints beter te beschermen tegen de niet-aflatende stroom aan malware.

Vanuit onze relatie met Nvidia richtte onze aandacht zich medio dit jaar op Deep Instinct, een Silicon Valley startup die met behulp van Nvidia deep learning technologie een algoritme heeft ontwikkeld om malware in de pre-executie fase te herkennen zonder enige vorm van signatures. 

Het principe lijkt eenvoudig: door voldoende samples van bonafide en malafide bestanden door een deep learning engine te laten processen, kun je een algoritme creëren dat daarna kwaadaardige bestanden ‘herkent’. Deep Instinct heeft dit principe ondergebracht in een compacte Endpoint oplossing.

Proef op de som

Donderdag 6 december was het zover: Een live proof of concept met Deep Instinct als challenger tegen een tweetal ‘traditionele’ endpoint protection oplossingen uit ons portfolio. Ter voorbereiding hebben we een 3-tal gelijkwaardige Virtual Machines klaargezet. Daarnaast hebben we samen met een ethische hacker een ‘verse’ malware set verzameld. Deep Instinct leverde ook een malware set aan.

De test hebben we als volgt opgezet:

• Eerst testen we de 3 oplossingen tegen de malware samples, aangeleverd door Deep Instinct. De signatures van de traditionele endpoint protection oplossingen zijn daarbij bewust een week oud.
• Daarna testen we de 3 oplossingen tegen onze eigen malware samples, met dezelfde signatures
• Tenslotte hebben we de signatures van de traditionele endpoint protection bijgewerkt naar de meest recente versie, en vervolgens beide samples weer getest.

Ten behoeve van de resultaten hebben we gekeken naar zowel detectieratio als de belasting van de endpoint protection software op het betreffende systeem.

De resultaten

Zoals verwacht faalt de signature based endpoint software volledig als de signatures ouder zijn dan de malware die we in onze eigen subset gebruikten. Dit betrof trouwens allemaal actieve malware, die we met zogenoemde honeypots hebben afgevangen.

We constateerden een factor drie verschil in performance tussen de twee traditionele endpoint protection oplossingen bij het analyseren van de door Deep Instinct aangeleverde samples. Het feit dat beide traditionele endpoint protection oplossingen de door Deep Instinct aangeleverde malware samples na het updaten van de signatures niet effectief konden detecteren konden we niet direct verklaren.

Alhoewel de Deep Instinct engine nog geen formele ondersteuning biedt voor 7-zip en OLE-objecten, konden wij wel vaststellen dat de engine indirect alle door de geactiveerde malware gestarte processen wist te blokkeren. De Virtual Machine bleef intact en controle nadien op malware via een up2date traditionele endpoint protection oplossing (die de 8 samples o.b.v. de up2date signatures 100% herkende) leverde geen resultaten op. We realiseren ons dat dit geen sluitend bewijs is, aangezien de malware zich na executie zou kunnen verbergen voor nadien geïnstalleerde endpoint protection oplossingen.

Conclusie

Voor CSN Groep was het belangrijk om vastgesteld te krijgen of endpoint protection op basis van deep learning algoritmes een belangrijke bijdrage kan leveren aan de effectieve bescherming van endpoints.

Onze conclusie is dat dit het geval is, zelfs met een relatief jonge oplossing als Deep Instinct. Samen met Deep Instinct zullen wij onze inspanningen rondom deze nieuwe technologie intensiveren en deze oplossing in 2017 begeleiden naar de Nederlandse markt.

Indien u meer informatie wenst dan kunt u uiteraard contact met mij opnemen.