Michael Viscuso har varit runt en del:

– Jag har varit anställd som hacker på NSA och CIA. Jag har deltagit i många operationer, säger Michael Viscuso, numera teknikchef på säkerhetsföretaget Carbon Black som han var med och grundade 2002.

Under de senaste åren har han kommit fram till en del insikter angående säkerhetslösningar som omsatts till produkter av Carbon Black. En intressant sådan insikt gäller hur man ska analysera strömmande data, som nätverkstrafik, för att identifiera säkerhetshot.

– Ett problem med att köra sådana här analyslösningar som molntjänster är att de ger upphov till många falska positiva larm, förklarar Michael Viscuso för Techworld.

Falska positiva larm innebär i det här fallet att en säkerhetslösning flaggar för hot, som i själva verket inte är hot. Det här är inte bara ett problem i sig, alltså ett kvalitetsproblem, utan ger också ett sämre resultat vad gäller den mest kritiska aspekten av arbetet med att upptäcka och motverka säkerhetshot: Tidsaspekten.

Läs också: Nytt verktyg kan upptäcka NSA-virus på din dator

Eftersom attacker och intrång av olika typer sker så snabbt så är det av yttersta vikt att en säkerhetslösning reagerar snabbt. Om den måste hantera många falska positiva larm så minskar naturligtvis möjligheterna att göra det.

Carbon Blacks lösning på problemet blev att för två år sedan flytta analysmotorn för strömmande data till klientenheterna, eller ”endpoints” som är det engelska uttrycket som används.

– Det gör att vi kan samla in mer data, som information om händelser som inträffar på en dator.

Att mer data kan hanteras innebär bättre precision, eller för att uttrycka det annorlunda: färre falska positiva och falska negativa larm. Kvaliteten höjs, helt enkelt. Lämpliga data skickas fortfarande till en molntjänst för vidare bearbetning.

Vad används alla dessa data från nätverkstrafik och en dators interna arbete till? Alltså innan man kommer så långt att säkerhetshot som upptäcks kan stoppas. Michael Viscuso återkommer till två begrepp under intervjun med Techworld: Händelser och sekvenser av händelser.

– Vi delar in de olika händelser som kan inträffa i sex huvudsakliga typer. Varje unik händelse får en egen identifierare, tag. Vi identifierar hela tiden nya tags.

Hur ofta inträffar händelser?

– Att en process startar på en dator kan innebära att hundratals händelser inträffar.

Nu kommer vi till pudelns kärna, nämligen att det är vissa sekvenser av händelser som är intressanta ur säkerhetssynpunkt. Och en viss sekvens av händelser kan vara intressant på en viss dator, därför är det en fördel att genomföra analyser på den datorn, med hjälp av de data som fångats in på den.

Under hur lång tid är det intressant att identifiera sådana händelsesekvenser?

– Från det att en dator startas, tills att den startas om.

Kan du nämna ett enkelt exempel på händelsesekvens som är värd att analysera?

– En okänd binärfil kopieras till en temporärmapp, sedan körs den och genomför en enda anslutning på nätverket.

Så ni definierar regler baserade på skadliga sekvenser?

– Nej, säger Michael Viscuso med eftertryck.

– Det kanske ser ut som regler men det är alltid beslut som fattas av algoritmer.

Läs också: Trump skär ner kraftigt på forskning inom it och teknik

Han är väldigt bestämd vad gäller användningen av algoritmer i stället för regler. Men han medger att man kanske måste kompromissa lite med den inställningen på Carbon Black.

– Vi har en del väldigt kompetenta kunder som vill ha åtkomst till algoritmmotorn. Vi kanske kommer att ge dem det, så att de kan definiera regler. Men det svårt att besluta hur vi ska göra, vi är till exempel oroliga för vilka supportsamtal det kan leda till.

Om du, kära läsare, tycker att det här är komplicerat så har du naturligtvis rätt. Och det finns ännu mer komplicerade saker att gräva i. Ett av Michael Viscusos favoritämnen verkar vara något som han kallar för ”sällsynthetsanalys” (infrequency analysis).

Kontentan av resonemanget verkar vara att det är svårt att avgöra när en händelsesekvens är misstänkt sällsynt, eftersom man måste analysera en oerhört stor mängd händelsesekvenser för att hitta de som sticker ut. Det blir en massa ”brus” i data som ska analyseras, som Michael Viscuso uttrycker det.

Det här resonemanget kan även appliceras på exekverbara filer på en dator. Man kan tro att en begränsad mängd unika exekverbara filer körs på en viss dator. Men så är det inte, enligt Michael Viscuso:

– Antalet exekverbara filer ökar linjärt för evigt.

Om vi antar att en viss andel av dessa exekverbara filer innehåller skadlig kod så lär Carbon Black och andra säkerhetsföretag ha att göra även i framtiden.