Detectarea bazată pe IA elimină vulnerabilitățile de tip „zero-day” și întârzierile din procesul dumneavoastră de securitate

Fiecare flux de fișiere al unei întreprinderi ascunde o ineficiență. Sarcinile MFT Managed File Transfer), proxy-urile ICAP Internet Content Adaptation Protocol), atașamentele de e-mail, portalurile de încărcare ale clienților și transferurile de date între domenii au o realitate statistică comună: aproximativ 99,9% dintre fișierele care trec prin ele sunt date de afaceri neprejudicioase. Cele 0,1% care sunt dăunătoare reprezintă singurul motiv pentru care există acest flux. Fiecare fișier suportă același cost de securitate, indiferent de risc, iar această uniformitate reprezintă ineficiența.

Prima problemă este latența. Un fișier aflat în coadă în spatele a zeci de altele, în timpul orelor de vârf de dimineață, își așteaptă rândul să treacă prin procesul complet de scanare multiplă, indiferent dacă este vorba de o foaie de calcul obișnuită sau de un fișier executabil necunoscut. În sectorul bancar și al serviciilor financiare, această întârziere se traduce direct prin tranzacții blocate, procesare mai lentă și transferuri bancare care așteaptă să fie scanate. Conform sondajului SANS 2025 privind detectarea și răspunsul la incidente, timpul de răspuns a devenit o provocare majoră pentru 53% dintre echipele de securitate, în creștere față de 45% în anul precedent.

Al doilea aspect îl reprezintă falsele pozitive. Majoritatea motoarelor de securitate bazate pe învățare automată sunt optimizate pentru „recall”: detectează totul, acceptând zgomotul de fond. Acest compromis funcționează la nivelul unui terminal. Într-un flux de fișiere, un fals pozitiv blochează un fișier legitim al companiei, declanșează o alertă inutilă către SOC (Centrul de Operațiuni de Securitate) și erodează încrederea analiștilor, care face posibilă automatizarea. Același sondaj SANS a constatat că falsele pozitive reprezintă în prezent principala provocare în materie de detectare pentru 73% dintre respondenți.

Predictive Alin AI este motorul de detectare a malware-ului bazat pe inteligență artificială OPSWAT, destinat detectării pre-execuționale a amenințărilor de tip „zero-day”, conceput pentru a identifica fișierele rău intenționate înainte ca acestea să fie executate, prin analiza bazată pe învățare automată a caracteristicilor structurale și comportamentale ale fișierelor. Motorul nu se bazează pe semnături, pe cunoștințe prealabile despre o amenințare specifică sau pe testarea în mediu izolat (sandbox) pentru a ajunge la o concluzie. Predictive Alin AI analizează indicatorii structurali care dezvăluie intenția rău intenționată înainte ca vreo instrucțiune să fie executată.

Motoarele antivirus tradiționale funcționează pe baza unei liste. O semnătură se potrivește cu o amenințare cunoscută, iar fișierul este marcat. Având în vedere că, potrivit AV-TEST.org, apar zilnic 450.000 de noi mostre de malware, lista respectivă este mereu cu un pas în urmă. Tehnologia predictivă Alin AI adoptă o abordare diferită, extragând și analizând caracteristicile structurale pe care fișierele dăunătoare le lasă în urmă, indiferent dacă au mai fost întâlnite sau nu.

Motorul evaluează caracteristici precum:

• Antetele fișierelor, secțiunile și structura generală

• Modele de entropie și indicatori de cod compact

• Puncte de intrare și caracteristici ale fluxului de control

• Metadate și tabele de import

Aceștia sunt indicatorii pe care o amenințare îi încorporează în structura fișierului său, prezenți indiferent dacă amenințarea respectivă a mai fost observată sau nu. Un fișier creat pentru a evita detectarea trebuie totuși să fie generat, iar acest proces de generare conține tipare pe care un model antrenat le poate identifica.

Majoritatea motoarelor de securitate bazate pe învățare automată sunt optimizate pentru rata de detectare: semnalează cât mai multe amenințări posibil și acceptă falsele pozitive ca un cost al acoperirii. OPSWAT o decizie tehnică opusă în cazul Predictive Alin AI. Motorul este optimizat în primul rând pentru precizie, având ca obiectiv o rată de fals pozitive de 0,01%. Atunci când Predictive Alin AI emite un verdict, acesta este conceput pentru a fi considerat de încredere și pentru a se acționa în consecință, fără a fi necesară o verificare umană.

Această precizie se manifestă în ambele sensuri. Aceeași analiză care identifică indicatorii structurali ai unui fișier rău intenționat identifică, de asemenea, indicatorii structurali ai unui fișier curat. Această încredere bidirecțională este cea care face posibilă utilizarea funcției „Deflection”, prezentată în detaliu în secțiunea următoare.

Alin AI, o soluție predictivă, generează rezultate în mai puțin de 15 milisecunde la P50 pentru fișierele PE, cu o performanță P90 cuprinsă între 10 și 22 de milisecunde pentru toate tipurile de fișiere și sub 100 de milisecunde la P99 pentru formate complexe, inclusiv PDF-uri. În prezent, sunt disponibile patru formate: PE, PDF, Mach-O și ELF, iar extinderea suportului pentru formate este prevăzută în planul de dezvoltare. Rezultatul este obținut înainte ca utilizatorul să poată înregistra faptul că fișierul a fost încărcat, ceea ce face ca protecția în timp real să fie practică, fără a deveni un blocaj în fluxul de lucru.

Detectarea demonstrează că sistemul funcționează. Fiecare vulnerabilitate de tip „zero-day” semnalată corect reprezintă un punct de date care contribuie la constituirea istoricului necesar pentru a acționa în sens invers. Odată ce această încredere este stabilită, același prag de precizie folosit pentru semnalarea fișierelor rău intenționate poate fi aplicat și pentru a confirma, cu aceeași încredere, că fișierele sunt curate.

Atunci când Predictive Alin AI emite un verdict de „curat” cu grad ridicat de încredere, fișierul urmează o cale scurtă verificată. Acesta ocolește Multiscanning Metascan™ Multiscanning este direcționat direct către tehnologia Deep CDR™ pentru curățare înainte de livrare. Atunci când Predictive Alin AI nu este sigur, fișierul urmează traseul complet: scanare multiplă cu până la 30 de motoare, tehnologia Deep CDR™ și un verdict complet înainte de livrare. Fiecare fișier primește un verdict final. Redirecționarea modifică doar traseul, nu și rezultatul.

Acest aspect este cel mai important în perioadele de vârf. Valurile de e-mailuri de dimineață, transferurile în bloc de la sfârșitul zilei și valurile de încărcări după anunțuri sunt exact momentele în care cozile se lungesc, iar timpii de răspuns cresc. Redirecționarea elimină traficul cunoscut ca fiind corect încă de la intrare, astfel încât restul canalului de procesare să nu fie niciodată copleșit de val.

Devierea nu diminuează nivelul de verificare. Filozofia „Nu te încrede în niciun fișier. Nu te încrede în niciun dispozitiv.™”, pe care s-a bazat dezvoltarea MetaDefender®, rămâne neschimbată. Niciun fișier nu este considerat curat din start. Devierea este o măsură conservatoare: atunci când motorul este sigur, acționează; atunci când există vreo îndoială, fișierul urmează calea mai lungă. Ambiguitatea nu este niciodată rezolvată la nivelul stratului de deviere.

Conform sondajului SANS 2025 privind detectarea și răspunsul la incidente, falsele alerte reprezintă principala provocare în materie de detectare pentru 73% dintre echipele de securitate, procentul celor care se confruntă cu acestea la un nivel foarte ridicat crescând la 20%, de la 13% în anul precedent. Fiecare falsă alertă înseamnă un analist distras de la o amenințare reală, un fișier nepericulos blocat într-un flux de lucru legitim și o erodare treptată a încrederii în sistemul de detectare în sine.

Echipele SOC (Security Operations Center) care gestionează fluxuri de fișiere cu volum mare se confruntă cu o problemă care se agravează: cu cât mai multe fișiere trec prin flux, cu atât mai multe alerte generează sistemul de detectare și cu atât devine mai dificil să se facă distincția între semnal și zgomot. Când analiștii își petrec tura eliminând falsele pozitive, amenințările reale au mai mult timp să se răspândească. Blocajul din cadrul SOC este blocajul din sistemul de detectare.

Pentru o analiză mai aprofundată a modului în care o analiză mai inteligentă rupe acest ciclu, consultați: „SOC Bottleneck: Breaking the Alert Fatigue Cycle with Smarter Sandboxing”.

Decalajul de detectare și cel de latență nu sunt specifice unui singur sector. În sectoarele producției, energiei și administrației publice, aceste decalaje apar în contexte operaționale diferite. Tabelul de mai jos prezintă expunerea specifică a fiecărui sector la capacitățile abordate de Predictive Alin AI.

Utilizarea tehnologiei Alin AI predictive pe sectoare industriale

Organizațiile din sectorul serviciilor financiare gestionează unele dintre cele mai mari fluxuri de fișiere din orice sector. Portalurile de încărcare a fișierelor de către clienți, fluxurile de lucru pentru preluarea documentelor și transferurile între domenii generează toate un trafic continuu de fișiere, iar fiecare alertă inutilă reprezintă un analist distras de la o amenințare reală. Conform sondajului SANS, falsele pozitive reprezintă principala provocare în materie de detectare pentru 73% dintre echipele de securitate, iar procentul celor care se confruntă cu acestea la rate foarte ridicate a crescut la 20%, de la 13% în anul precedent.

Sistemul Predictive Alin AI reduce volumul de alerte încă de la sursă, punând accentul pe precizie mai degrabă decât pe rata de detectare. O concluzie în care SOC-ul poate avea încredere este o concluzie pe care SOC-ul o poate automatiza, permițând analiștilor să se concentreze asupra cazurilor care necesită cu adevărat o investigație.

Mediile de producție se confruntă cu o problemă specifică legată de pătrunderea amenințărilor. Actualizările de firmware, artefactele de compilare și pachetele software furnizate de terți ajung sub formă de fișiere înainte de a deveni amenințări. Până când un pachet rău intenționat ajunge la un sistem OT, pagubele sunt deja în interiorul perimetrului. Alin AI predictiv interceptează aceste fișiere la perimetru, emițând un verdict înainte de execuție, înainte ca acestea să fie introduse în mediile de producție. Funcționând prin MetaDefender , platforma avansată de detectare și prevenire a amenințărilor OPSWAT, motorul adaugă un strat de inteligență predictivă la fluxurile de lucru existente de preluare, fără a necesita modificări arhitecturale.

Operatorii din sectorul energetic și al serviciilor publice gestionează unele dintre cele mai izolate medii din punct de vedere al conectivității din cadrul infrastructurii critice. Multe metode de detectare își pierd eficiența în implementările de tip „air-gapped”, bazându-se pe interogări în cloud sau pe telemetrie externă care pur și simplu nu sunt disponibile. Predictive Alin AI funcționează complet offline, cu aceeași precizie de 99,99% ca și implementările în cloud, fără a necesita conectivitate externă și fără a apela la interogări în cloud pentru a menține această performanță. Pachetele de actualizare de teren și software-ul furnizat de producători pot fi inspectate la perimetru înainte de a ajunge la operațiunile rețelei sau ale centralei, iar rezultatele sunt disponibile în milisecunde, indiferent de izolarea rețelei.

Mediile guvernamentale și de apărare funcționează sub două constrângeri simultane: cerințe stricte de conformitate, care impun ca nimic să nu treacă neexaminat, și arhitecturi de rețea care interzic conectivitatea externă. Din punct de vedere istoric, aceste constrângeri au impus o alegere între scanarea amănunțită și viteza operațională. Tehnologia de inteligență artificială predictivă Alin rezolvă ambele probleme, oferind detectarea tip „zero-day” înainte de execuție, care:

• Funcționează complet offline în medii izolate fizic și în medii inter-domenii

• Îndeplinește cerințele de detectare cu grad ridicat de fiabilitate, fără detonare în mediul sandbox

• Se integrează în implementările existente MetaDefender , MetaDefender File Transfer™ și MetaDefender

• Se îmbunătățește continuu printr-un ciclu de recalificare „zero-day” bazat pe MetaDefender , fără a necesita o conexiune activă pentru aceasta

Vedeți cum funcționează Predictive Alin AI

Webinarul „Scan What Matters” prezintă modul în care tehnologia Predictive Alin AI elimină atât lacuna de detectare a vulnerabilităților de tip „zero-day”, cât și lacuna de latență a fluxului de lucru, cu o demonstrație live a cazului de utilizare privind devierea amenințărilor și a indicatorilor de precizie în mediul de producție. Urmăriți înregistrarea la cerere, în ritmul dumneavoastră.

Evaluează-ți programul de detectare

Sondajul SANS 2025 privind detectarea și răspunsul, sponsorizat de OPSWAT, prezintă modul în care peste 300 de specialiști în securitate din sectoarele bancar, guvernamental, medical și al producției își regândesc abordarea privind detectarea, în contextul creșterii numărului de falsuri pozitive, al oboselii provocate de alerte și al expunerii la vulnerabilități de tip „zero-day”. Descărcați raportul complet pentru a afla care este situația programului dumneavoastră.