Evolucija ransomware-a i zašto je AI budućnost zaštite

Napadi ransomware-om postali su sve sofisticiraniji, evoluirajući od jednostavnih malvera zasnovanih na enkripciji do naprednih AI-generisanih pretnji koje mogu da zaobiđu tradicionalne odbrambene mehanizme. Svake godine ransomware doživljava sve ozbiljniji rast – procenjuje se da će globalna šteta od ransomware napada premašiti 250 milijardi dolara do kraja 2031. godine. Ova rastuća pretnja zahteva promenu paradigme u sajber bezbednosti.

Claude Shannon – otac teorije informacija i njegov značaj za AI

Entropija, mera nasumičnosti u podacima, igrala je ključnu ulogu u detekciji ransomware-a. Koncept entropije uveo je Claude Shannon, poznat kao otac teorije informacija, u svom revolucionarnom radu iz 1948. godine A Mathematical Theory of Communication. Njegova formula entropije kvantifikuje nepredvidljivost skupa podataka i široko se koristi u kriptografiji, sajber bezbednosti i veštačkoj inteligenciji.

Shannonova formula entropije:

Ona kvantifikuje nivo nasumičnosti u skupu podataka. Fajl sa entropijom blizu vrednosti 8 (maksimalno za podatke bazirane na bajtovima) često se smatra šifrovanim. Međutim, oslanjanje isključivo na entropiju za detekciju ransomware-a predstavlja značajne izazove.

Shannonov rad imao je ogroman uticaj ne samo na oblast bezbednosti već i na razvoj veštačke inteligencije.

Njegovo istraživanje o načinu na koji se informacije obrađuju, kompresuju i prenose postavilo je temelje za današnje AI algoritme i neuronske mreže. Shannon je bio i pionir u razvoju mašinskog učenja – jedna od njegovih najpoznatijih kreacija bio je uređaj koji je mogao da simulira učenje na osnovu povratnih informacija, što je preteča modernih AI sistema.

Uloga AI u sledećoj generaciji zaštite od ransomware-a

Orion telekom Ransomware Protection, izgrađen na NetApp-ovoj jedinstvenoj AI-sigurnosnoj platformi, dizajniran je da se suprotstavi ovim evolutivnim pretnjama kroz višeslojni pristup. Za razliku od tradicionalnih rešenja koja se oslanjaju samo na detekciju zasnovanu na entropiji, NetApp AI Ransomware zaštita koristi sledeće tehnike:

• Entropijska analiza: Detektuje nepravilne obrasce enkriptovanja, ali izbegava false pozitivne signale integracijom analize ponašanja korisnika.
• Praćenje Ponašanja Korisnika: Identifikuje odstupanja u obrascima pristupa fajlovima, anomalije u prijavama i neobične operacije čitanja/pisanja.
• Detekcija na Bazi IOPS-a: Detaljna analiza ulazno/izlaznih operacija koji često ukazuju na pokušaje masovnog enkriptovanja fajlova.

Zašto je entropija bitna (i zašto nije dovoljna)

Primeri vrednosti entropije kroz različite fajlove

Iako je entropija ključna u analizi podataka, njena primena u detekciji ransomware-a nosi određene izazove:

• False pozitivi iz legitimnih šifrovanih podataka – SSL/TLS enkripcija, ZIP arhive i šifrovane SQL baze podataka mogu imati visoke vrednosti entropije, što dovodi do lažnih alarma.
• Sofisticirani ransomware koji izbegava detekciju zasnovanu na entropiji – Moderni sojevi koriste delimičnu tehniku šifrovanja, čime ostaju ispod praga detekcije.
• Kompresovani fajlovi koji imitiraju ponašanje ransomware aktivnosti – ZIP i 7z arhive mogu da izgledaju kao šifrovani ransomware payload.
• Adaptivni Ransomware sa AI – Novi malveri koriste AI za prilagođavanje tehnikama detekcije.

Primeri ransomware-a i analiza entropije

Nekoliko poznatih ransomware kroz istoriju pokazuje kako nivoi entropije mogu ukazivati na zlonamernu aktivnost, ali i kako sama entropija nije dovoljna:

• WannaCry – Koristi AES šifrovanje, što rezultira vrlo visokom entropijom (7.8–8.0). Međutim, zbog brzog šifrovanja fajlova, detekcija zasnovana na ponašanju može ga identifikovati brže nego sistemi koji se oslanjaju samo na entropiju.
• Locky – Šifruje čitave fajlove koristeći RSA-2048, što dovodi do konstantno visokih vrednosti entropije. Rane verzije Locky-a bile su lako detektovane zbog naglih skokova entropije.
• Maze – Koristi hibridno šifrovanje (ChaCha20 + RSA), što podiže entropiju na gotovo maksimalne vrednosti. Međutim, novije varijante koriste prekinuto šifrovanje kako bi izbegle detekciju.
• Ryuk – Cilja preduzetničke mreže i šifruje fajlove u fazama, održavajući entropiju na promenljivim nivoima kako bi izbegao detekciju.
• REVil/Sodinokibi – Koristi mešavinu AES i RSA šifrovanja, ali ga primenjuje samo na delove fajlova, održavajući entropiju ispod praga za detekciju.
• DarkSide – Implementira naprednu strategiju šifrovanja gde se samo ključni segmenti fajlova šifruju, osiguravajući da entropija ne dostigne kritične nivoe detekcije.
• BlackMatter – Šifruje fajlove dok imituje normalnu korisničku aktivnost, što otežava tradicionalnim sistemima zasnovanim na entropiji da razlikuju stvarne pretnje od legitimnih šifrovanja.

Kako Orion telekom i NetApp AI ransomware protection rešavaju ove izazove

Orion telekom Cloud Ransomware Protection koristi AI modele koji:

• Analiziraju ponašanje korisnika i detektuju anomalije.
• Prate IOPS kako bi identifikovali nagle poraste disk aktivnosti.
• Kombinuju entropiju sa analizom obrazaca, smanjujući lažne pozitivne signale.

Snažna odbrana od ransomware-a: Orion telekom i NetApp inoviraju sa AI tehnologijom

SE Labs je sprovela rigorozna testiranja u realnim uslovima, dodeljujući NetApp-ovoj tehnologiji najvišu AAA ocenu sa izvanrednih 99% tačnosti.

Kao strateški partner NetApp-a, Orion telekom omogućava organizacijama da iskoriste moć naprednih AI rešenja koja ne samo da štite podatke od sofisticiranih ransomware pretnji, već i obezbeđuju kontinuitet poslovanja. Ova saradnja postavlja nove standarde u sajber bezbednosti, koristeći AI kao ključnu komponentu za brzo otkrivanje i odgovor na napade.

Inspirisani radom Claudea Shannona, pionira teorije informacija, koji je postavio temelje za revoluciju u veštačkoj inteligenciji, danas gradimo budućnost gde su podaci sigurni, otporni na pretnje i zaštićeni najnovijim tehnološkim dostignućima.

Ukoliko želite da zakažete demo i vidite u praksi kako funkcioniše Ransomware zaštita, možete se prijaviti putem sledećeg linka.

Vaš Orion telekom