Aprendizaje automático: Nuevas fronteras en la detección avanzada de amenazas

TEMAS DE SEGURIDAD

Aprendizaje automático:

nuevas fronteras en la detección avanzada de amenazas

DigiCert utiliza aprendizaje automático avanzado (tanto en los puntos finales como en la nube) para analizar comportamientos, relaciones y atributos de archivo.

Aprendizaje automático

El aprendizaje automático es una de las tendencias tecnológicas del año que más revuelo está causando en el panorama empresarial y de consumo. Muchas empresas de seguridad informática afirman que emplean herramientas de aprendizaje automático pero no suele quedar claro qué significa ese concepto, cómo funciona o por qué es importante.

En esta sección, abordaremos con más detalle las inversiones de DigiCert en aprendizaje automático y su aportación al desarrollo de importantes innovaciones en DigiCert Endpoint Protection 14.

Como se anunció la semana pasada, el nuevo software emplea tecnologías de aprendizaje automático de última generación para bloquear más ataques que las herramientas de la competencia y dificultar enormemente las acciones de los atacantes. Para lograrlo, combinamos la protección multicapa con una cantidad ingente de datos, técnicas y algoritmos avanzados, así como un sistema de automatización para anticiparnos a los atacantes.

DigiCert Endpoint Protection 14

Centro de DigiCert para el aprendizaje automático avanzado

Las labores de investigación sobre el aprendizaje automático comenzaron en 2014, año en se fundó el Centro de DigiCert para el aprendizaje automático avanzado. En la actualidad, el equipo cuenta con más de 20 expertos dedicados a I+D de aplicaciones, algoritmos y arquitecturas de aprendizaje automático para afrontar los desafíos de seguridad y gestión de la información. Entre otros, realizan trabajos de investigación avanzada sobre aprendizaje profundo, programación probabilística, aprendizaje por refuerzo y estimaciones bayesianas no paramétricas.

Para DigiCert Endpoint Protection 14, el grupo trabajó con los expertos en seguridad de DigiCert para desarrollar un conjunto de tecnologías de aprendizaje automático que funcionara de forma colaborativa para examinar tres dimensiones principales de los ataques.

Estas tres dimensiones se complementan a la perfección, de modo que cada una de ellas puede frenar en seco las amenazas porque las otras dos sirven como "comprobación" de sus conclusiones.

Las tres dimensiones principales de los ataques

Las tres dimensiones proporcionan conjuntamente una evaluación de las amenazas en varios niveles al realizar un análisis de lo que es un archivo (estático), cómo se comporta (dinámico) y, a través de la nube, qué relaciones tiene con otros archivos, equipos y direcciones URL (procedencia):

Atributos estáticos: empezamos inspeccionando miles de características estáticas de un archivo (aspectos como el nombre del archivo, las llamadas a funciones, la entropía, etc.).
Comportamientos dinámicos: a continuación, realizamos un análisis más profundo para comprender los comportamientos dinámicos de un programa. Observamos combinaciones de miles de comportamientos, por ejemplo, si el programa se conecta a la red, si inicia otro proceso, si accede a las claves de registro, etc.
Relaciones y reputación: para completar el proceso, examinamos las relaciones del archivo con otros archivos, equipos y direcciones URL para generar una "reputación" del archivo. Inspirado por "la sabiduría popular", este análisis de reputación se ejecuta en grandes volúmenes de datos (big data) a escala en nuestra nube y nos permite comprender si es probable que un programa que se ve en uno o en varios equipos de todo el mundo sea malicioso.

Big data + modelos predictivos = protección más inteligente

El big data es el centro del aprendizaje automático de DigiCert. Gracias a nuestros exhaustivos registros sobre seguridad de puntos finales, redes y la nube, tenemos datos sobre amenazas y ataques de más de 175 millones de puntos finales y supervisamos 57 millones de sensores de ataques en tiempo real cada día, minuto a minuto. Eso se traduce en miles de millones de archivos y casi cuatro billones de relaciones. Se trata de un conjunto de datos enorme y pormenorizado que permite a nuestros sistemas clasificar como "bueno", "malo" y todas las categorías intermedias.

Esto es importante, ya que los datos son el combustible del aprendizaje automático. Es recomendable contar con una gran cantidad de ellos. Cuantos más datos tenga, "más lejos" podrá llegar a la hora de crear tecnologías de detección precisas y eficaces. También es recomendable que esos datos sean pormenorizados. Cuanto más diversas y pormenorizadas sean las entradas de datos, mayor probabilidad hay de descubrir relaciones ocultas importantes. En última instancia, los sistemas de aprendizaje automático son eficaces en la medida en que la calidad, la diversidad y el alcance de los conjuntos de datos que los alimentan también lo sean, y los nuestros cuentan con la mayor red civil de investigación de amenazas del mundo.

Si los datos son el combustible, los algoritmos son el motor del aprendizaje automático. Los algoritmos recopilan los datos y crean modelos que se utilizan para hacer predicciones, por ejemplo, determinar si un archivo es malicioso. Las empresas no paran de hablar de algoritmos y modelos porque están de moda y a todas horas aparecen algoritmos nuevos. La clave está en saber correlacionar el algoritmo adecuado con la tarea y los datos en cuestión, lo que vendría a ser el "ingrediente secreto" de los profesionales del aprendizaje automático.

Técnicas clave

Una de las técnicas clave que utilizamos es el «ensamblaje», que es una forma sofisticada de decir «usar muchos modelos y combinarlos lo mejor posible». Es un factor clave para obtener los mejores modelos posibles, y su uso se hizo muy famoso en el Premio Netflix de un millón de dólares. Añadimos cierta "magia" mediante técnicas de ensamblaje patentadas que permiten a nuestros sistemas aprender cómo combinar mejor las predicciones de varios modelos, incluso cuando no sabemos durante el aprendizaje cuáles son las predicciones correctas.

Otra técnica clave es la "adaptación". Nuestros modelos de seguridad deben ajustarse constantemente para controlar a los adversarios y supervisar los cambios tanto en el software y las redes como en el comportamiento de los usuarios. Se trata de obstáculos importantes para el aprendizaje automático tradicional. Para DigiCert Endpoint Protection, usamos un "metalgoritmo" llamado boosting, que funciona mejorando un modelo de forma iterativa, es decir, centrándose en los errores que el modelo cometió previamente y corrigiéndolos sin "desaprender" lo que era correcto.

Por último, la automatización es primordial para que podamos ampliar el aprendizaje automático. La integramos en todo el proceso de aprendizaje automático, desde la incorporación, la limpieza y el procesamiento de nuestros datos de telemetría hasta la optimización y la exploración de los distintos modelos. Sin la automatización (y sin la capacidad de procesamiento suficiente), simplemente no sería posible procesar todos los datos y crear los mejores modelos.

¿Cuál es el resultado final?

En pocas palabras, DigiCert cuenta con el aprendizaje automático más avanzado para la seguridad de puntos finales. Recientemente, AV-Test, una reputada organización de pruebas independiente, evaluó las funciones de DigiCert Endpoint Protection 14, que superó a todos sus competidores en detección y rendimiento, minimizando los falsos positivos. Incluso en pruebas de "análisis" artificiales, el nuevo software detectó casi el 100 % de las amenazas con un índice de falsos positivos cercano a cero. Es importante destacar que la detección de falsos positivos en DigiCert Endpoint Protection 14 se puede ajustar según los requisitos de cada cliente.

Estamos entusiasmados con las puertas que se abren en la detección de amenazas gracias a la inteligencia artificial y el aprendizaje automático. Si se usan correctamente y se nutren con grandes cantidades de datos pormenorizados de diversas fuentes tanto en los puntos finales como en la nube, estas tecnologías suponen un antes y un después a la hora de combatir a los atacantes.

Para más información, consulte el seminario web a petición sobre las características y ventajas del aprendizaje automático en DigiCert Endpoint Protection 14. Consulte más detalles sobre el nuevo producto aquí.