Project Ire позиціонується як прорив у сфері кіберзахисту. На відміну від традиційного методу, який вимагає участі висококваліфікованих аналітиків для аналізу потенційно шкідливих файлів, новий інструмент може виконувати цю роботу автономно — «без сторонньої допомоги», як зазначається у блозі Microsoft.

За словами компанії, автоматизований аналіз і класифікація ПЗ вважаються «золотим стандартом» у сфері виявлення шкідливих програм. Але до цього моменту повністю делегувати цей процес ШІ було майже неможливо.

Що саме робить Project Ire

Project Ire працює поетапно — аналітична система розділена на кілька рівнів, що дозволяє уникати перевантаження та забезпечує більш точне міркування. Інструмент також використовує:

• пісочниці з аналізом пам’яті від Microsoft,
• як фірмові, так і відкриті інструменти,
• пошук по документації,
• кілька типів декомпіляторів.

Це дозволяє агенту ухвалювати обґрунтовані рішення навіть у складних випадках, коли поведінка ПЗ двозначна або має подвійне призначення (dual use).

Результати першого тестування

У реальному тесті Microsoft, під час аналізу близько 4000 файлів, які раніше були позначені захисною системою Microsoft Defender, Project Ire показав такий результат:

• майже 9 з 10 файлів, які ШІ класифікував як шкідливі, дійсно були шкідливими,
• але при цьому агент виявив лише приблизно чверть усіх шкідливих файлів у системі.

Це свідчить про високу точність при низькому рівні хибнопозитивних спрацювань, хоча загальний показник охоплення поки залишається помірним.

«Хоча загальна ефективність була помірною, поєднання точності та низької кількості помилок свідчить про реальний потенціал для майбутнього впровадження», — йдеться в блозі Microsoft.

Чому це важливо знати

Автоматизація виявлення шкідливого ПЗ — ключовий напрям у сфері кібербезпеки, що безпосередньо впливає на захист критичної інфраструктури, зокрема в умовах війни. Для України, яка щоденно стикається з кіберзагрозами з боку Росії, поява таких інструментів як Project Ire може мати стратегічне значення.

По-перше, це зменшує навантаження на ІТ-фахівців у сфері оборони, які змушені аналізувати велику кількість потенційно небезпечних файлів вручну.

По-друге, використання багаторівневих ШІ-систем для ідентифікації шкідливого ПЗ дозволяє оперативно реагувати на нові загрози, зокрема ті, що не мають чітких сигнатур.

Крім того, запланована інтеграція Project Ire у Microsoft Defender свідчить про намір зробити технологію доступною для широкого кола користувачів, включно з державними органами, приватним сектором і волонтерськими ІТ-командами.

У глобальному масштабі це також сигналізує про еволюцію ШІ-агентів, які виходять за межі експериментів і починають відігравати реальну роль у захисті інформаційного простору.