Η Microsoft αποκάλυψε το Project Ire, έναν πρωτοποριακό αυτόνομο παράγοντα τεχνητής νοημοσύνης (AI) που μπορεί να αναλύει και να ταξινομεί λογισμικό χωρίς βοήθεια, κάνοντας ένα σημαντικό βήμα προόδου στην κυβερνοασφάλεια και την ανίχνευση κακόβουλου λογισμικού. Αυτό το πρωτότυπο σύστημα αυτοματοποιεί τη διαδικασία που θεωρείται το «χρυσό πρότυπο» στην ταξινόμηση κακόβουλου λογισμικού: την πλήρη αντίστροφη μηχανική ενός αρχείου λογισμικού χωρίς προηγούμενες πληροφορίες για την προέλευση ή τον σκοπό του.
Το Project Ire είναι το αποτέλεσμα μιας συνεργασίας μεταξύ των ομάδων Microsoft Research, Microsoft Defender Research και Microsoft Discovery & Quantum. Χρησιμοποιεί προηγμένα μοντέλα συλλογισμού για να καθοδηγήσει μια σειρά εξειδικευμένων εργαλείων, όπως μεταγλωττιστές (decompilers) και εργαλεία δυαδικής ανάλυσης, για να αποδομήσει τον κώδικα και να καθορίσει εάν ένα αρχείο είναι κακόβουλο ή ασφαλές. Το σύστημα μπορεί να πραγματοποιεί ανάλυση σε πολλαπλά επίπεδα, από την ανάλυση δυαδικών αρχείων χαμηλού επιπέδου έως την ανακατασκευή της ροής ελέγχου και την ερμηνεία της συμπεριφοράς του κώδικα σε υψηλό επίπεδο.
Σε δοκιμές, το Project Ire έχει επιδείξει εντυπωσιακές επιδόσεις. Όταν δοκιμάστηκε σε ένα δημόσιο σύνολο δεδομένων οδηγών των Windows, πέτυχε ακρίβεια 0,98 και ανάκληση 0,83. Σε ένα πιο δύσκολο σενάριο πραγματικών συνθηκών με σχεδόν 4.000 αρχεία-στόχους που δεν μπορούσαν να ταξινομηθούν από άλλα αυτοματοποιημένα συστήματα, το Project Ire αναγνώρισε σωστά σχεδόν 9 στα 10 αρχεία που επισήμανε ως κακόβουλα, αν και εντόπισε περίπου το ένα τέταρτο (26%) του συνόλου του κακόβουλου λογισμικού σε αυτή τη δοκιμή. Το ποσοστό ψευδώς θετικών αποτελεσμάτων ήταν μόλις 4%.
Ένα βασικό χαρακτηριστικό του Project Ire είναι η ικανότητά του να δημιουργεί μια «αλυσίδα αποδείξεων», ένα λεπτομερές αρχείο καταγραφής που επιτρέπει στους ανθρώπινους ειδικούς να επαληθεύουν τα ευρήματά του και βελτιώνει τη λογοδοσία. Το σύστημα έχει ήδη αποδείξει την αξία του, καθώς έγινε ο πρώτος «αναλυτής» στη Microsoft, ανθρώπινος ή μηχανικός, που συνέταξε μια υπόθεση καταδίκης αρκετά ισχυρή για να δικαιολογήσει τον αυτόματο αποκλεισμό ενός δείγματος κακόβουλου λογισμικού τύπου Advanced Persistent Threat (APT).
Η Microsoft σχεδιάζει να ενσωματώσει το πρωτότυπο του Project Ire στον οργανισμό του Defender ως Binary Analyzer για την ανίχνευση απειλών και την ταξινόμηση λογισμικού. Ο απώτερος στόχος είναι η κλιμάκωση της ταχύτητας και της ακρίβειας του συστήματος ώστε να μπορεί να ανιχνεύει νέο κακόβουλο λογισμικό απευθείας στη μνήμη, σε μεγάλη κλίμακα. Αυτή η καινοτομία σηματοδοτεί μια στροφή προς πιο προληπτικά και αυτόνομα μέτρα κυβερνοασφάλειας, μειώνοντας την εξάρτηση από την ανθρώπινη παρέμβαση και επιτρέποντας στις ομάδες ασφαλείας να επικεντρωθούν στις πιο κρίσιμες απειλές.