Las tecnologías de aprendizaje automático permiten la creación de sistemas inteligentes que pueden adaptarse a nuevos tipos de ataques y aprender de incidentes pasados. Esto mejora la eficiencia de los equipos de seguridad, permite una respuesta rápida ante las amenazas y minimiza los riesgos potenciales. Sin embargo, los ciberdelincuentes también utilizan activamente el aprendizaje virtual, lo que requiere métodos de defensa adecuados.
/es/products/mpsiem/MaxPatrol SIEM
/es/products/sandbox/PT Sandbox
/es/products/mp-vm/MaxPatrol VM
/es/products/af/PT Application Firewall
Aprendizaje virtual en ciberseguridad
El aprendizaje virtual revolucionó la ciberseguridad. En el pasado, la ciberseguridad se basaba en sistemas de protección basados en reglas y en analistas. Sin embargo, con la llegada del aprendizaje virtual, la detección y respuesta ante incidentes de seguridad se volvieron mucho más efectivas. Mediante el análisis de grandes cantidades de datos y el aprendizaje a partir de ellos, los algoritmos de aprendizaje automático pueden identificar patrones y anomalías que indican posibles amenazas y tomar medidas para prevenirlas o mitigarlas
Este texto fue generado por inteligencia artificial (IA).
01
El aprendizaje virtual resuelve todas las tareas prácticas de ciberseguridad
¿Por qué utilizar aprendizaje automático en ciberseguridad?
Los hackers no descansan
El aprendizaje automático permite desarrollar y perfeccionar ataques que las defensas tradicionales no pueden detectar.
Aumento de los flujos de información
Los especialistas en seguridad tienen dificultades para gestionar manualmente los flujos de datos, establecer correlaciones e identificar amenazas desconocidas.
Aumento de los daños
Las sanciones gubernamentales más estrictas por filtraciones de datos incrementan los riesgos para las empresas y generan una mayor demanda de soluciones eficaces contra las ciberamenazas.
¿Qué tareas de seguridad resuelve el aprendizaje automático?
02
Aprendizaje automático en Positive Technologies
Nos esforzamos por garantizar que nuestros productos prevengan, detecten y respondan automáticamente a las amenazas. Los modelos de aprendizaje automático de los productos de Positive Technologies aprenden continuamente a partir de nuestra experiencia y de los datos de los usuarios, incluido el autoaprendizaje. Gracias al aprendizaje virtual, los equipos de seguridad eliminan las tareas repetitivas, los analistas obtienen información valiosa para la caza de amenazas y los gerentes pueden priorizar eficazmente la solución de las vulnerabilidades de la infraestructura.
Desarrollamos modelos de aprendizaje automático que detectan las tácticas más peligrosas de los hackers:
03
¿Por qué utilizamos tecnologías de aprendizaje automático en los productos?
Los sistemas de protección comienzan recopilando datos sin procesar, como registros, tráfico y archivos ejecutables. Esta información debe estandarizarse para detectar ataques, identificar incidentes de seguridad y llevar a cabo investigaciones. El aprendizaje virtual debe aplicarse en todas las etapas, desde el procesamiento de datos sin procesar hasta la creación de informes de incidentes.
Vectores clave del desarrollo del aprendizaje automático en Positive Technologies
04
Aprendizaje automático en los productos de Positive Technologies
MaxPatrol SIEM
Las reglas expertas en los sistemas SIEM ayudan a detectar comportamientos sospechosos. Sin embargo, muchos escenarios de ataque no pueden describirse ni detectarse de esta manera. Los modelos de aprendizaje automático manejan esta tarea de manera eficaz.
El módulo BAD (detección de anomalías de comportamiento) de MaxPatrol SIEM actúa como un sistema de "segunda opinión" que mejora la eficacia de la detección de ataques mediante métodos alternativos de análisis de eventos y la evaluación de la fiabilidad de cada activación en una escala de 100 puntos. BAD también detecta de forma independiente los ataques dirigidos, actuando como una segunda capa de defensa.
Los 49 modelos de aprendizaje automático se dividen en varios tipos y subtipos:
- Actividad de procesos
- Actividad de ejecución de procesos
- Actividad de procesos en la red
- Acceso de procesos a canalizaciones locales
- Relaciones entre procesos en distintos hosts
- Actividad de acceso
- Acceso a recursos compartidos de red
- Acceso a canalizaciones de red
El módulo BAD incorpora los veredictos de modelos de aprendizaje automático y las reglas de correlación, lo que permite a los equipos de seguridad tomar decisiones rápidas y precisas al analizar los desencadenantes.
En MaxPatrol SIEM, el módulo BAD:
- Detecta de forma independiente ataques dirigidos y anomalías previamente desconocidas.
- Recopila datos de eventos y usuarios, asigna puntuaciones de riesgo y proporciona evaluaciones alternativas basadas en sus algoritmos.
- Ayuda a los analistas a tomar decisiones de seguridad más rápidas.
- Permite la detección rápida de amenazas previamente desconocidas que resultan invisibles en flujos de datos fragmentados.
PT NAD
En PT NAD, el aprendizaje virtual ayuda a hacer lo siguiente:
- Detectar actividad anómala en los nodos mediante reglas de perfilado.
- Identificar aplicaciones que se ocultan a los sistemas de análisis de tráfico de red.
Reglas de perfilado de usuarios (UPR)
Las UPR permiten configurar filtros y monitorear el comportamiento de los participantes de la red dentro del tráfico de interés. El aprendizaje virtual identifica anomalías en el tráfico y automatiza el proceso de toma de decisiones para identificar actividades maliciosas. Puede crear sus propios filtros o utilizar reglas básicas desarrolladas en colaboración con el PT Expert Security Center (PT ESC).
En cada filtro, puede especificar una única característica (como el número de bytes enviados o las conexiones únicas), agrupar los datos por objeto (cliente, servidor o par cliente-servidor) o seleccionar datos para toda la red, así como definir un intervalo de tiempo. Se define como anomalía el hecho de superar un umbral específico en una o varias series temporales. El modelo de aprendizaje automático tiene tres niveles de sensibilidad (bajo, medio y alto) y puede activarse tanto ante desviaciones menores como significativas.
PT Sandbox
El modelo de aprendizaje automático en PT Sandbox realiza parte del análisis conductual de los archivos. El análisis dinámico consiste en ejecutar archivos en un entorno virtual, registrar su comportamiento y analizar el registro resultante. Cada proceso en ejecución deja tras de sí una secuencia de llamadas al sistema (un rastro) a través de la cual interactúa con el sistema operativo. El equipo de aprendizaje automático de Positive Technologies analizó numerosos rastros maliciosos y limpios para identificar secuencias características del malware, incluidas las solicitudes de red a Internet, las operaciones con archivos y los accesos al registro. Estas llamadas se reducen a un vector de características final que es procesado por el modelo de aprendizaje automático, el cual luego clasifica el comportamiento como "malo" o "bueno".
Para implementar estos modelos de aprendizaje automático en el producto, se utiliza un conjunto específico de tecnologías: PT Sandbox utiliza código Python, el modelo de aprendizaje automático se serializa mediante ONNX y MLflow se utiliza para el seguimiento de experimentos y como repositorio de artefactos. Además, el modelo se entrena con un flujo diario de ejemplos y un conjunto de datos de referencia que excluye los falsos positivos, lo que proporciona resultados de detección de gran precisión.
Tareas que ayuda a gestionar el modelo de aprendizaje automático de PT Sandbox:
- Detección de cadenas anómalas de subprocesos. Una gran cantidad de secuencias ramificadas puede ser legítima por sí sola. Sin embargo, la cantidad de nodos, la profundidad de anidamiento y la repetición o singularidad de los nombres de los procesos solo pueden analizarse eficazmente mediante el modelo de aprendizaje automático.
- Detección de valores no estándar en los parámetros de llamadas. En la mayoría de los casos, los analistas se centran en los parámetros significativos de las funciones al buscar malware. El modelo de aprendizaje automático analiza eficazmente los parámetros restantes.
- Investigación de secuencias atípicas de llamadas a funciones. En ocasiones, algunas funciones individuales o combinaciones de funciones pueden parecer inofensivas, pero su secuencia no se encuentra en un software legítimo. Un analista necesitaría una amplia experiencia para detectar ese patrón manualmente. El modelo de aprendizaje automático detecta estos patrones mediante la clasificación basada en características que no se definieron previamente como indicadores de comportamiento malicioso.
La tarea principal del aprendizaje automático en PT Sandbox es mejorar continuamente la precisión de los veredictos a la hora de determinar si un objeto es malicioso. Mediante el análisis de más de 8 500 características del comportamiento de los objetos, el modelo de aprendizaje automático garantiza una alta calidad de detección inalcanzable para los sistemas que utilizan métodos estándar de detección de malware.
MaxPatrol VM
La evaluación del potencial de las vulnerabilidades (CVE) como tendencia basada en la cantidad de menciones en bases de datos (un enfoque estadístico) tiene un inconveniente importante: existe el riesgo de que una vulnerabilidad se reconozca como tendencia solo cuando ya esté siendo aprovechada activamente.
El enfoque de aprendizaje virtual incluye las siguientes etapas:
- La base de datos de publicaciones sobre CVE se actualiza periódicamente.
- Una vez al día, el modelo calcula predicciones sobre vulnerabilidades basándose en una docena de parámetros, entre los que se incluyen la hora de publicación, el número de comentarios, las veces que se volvió a publicar, los "me gusta", el texto de la publicación y las reacciones.
- Los 20 CVE con mayor probabilidad estimada se envían a expertos para su análisis.
El modelo de aprendizaje automático se entrena tanto con características textuales (contenido de las publicaciones) como cuantitativas (como el número de suscriptores, reacciones y menciones de vulnerabilidades) y predice las tendencias en vulnerabilidades antes de que el número de menciones supere un valor umbral. Los expertos realizan la evaluación final del rendimiento del modelo mediante métricas de calidad.
El uso del modelo de aprendizaje automático en MaxPatrol VM permite a los expertos determinar de manera eficiente y rápida qué CVE requieren atención, así como incorporar rápidamente al producto información sobre tendencias en vulnerabilidades.
PT Application Firewall
Los productos que analizan el tráfico HTTP reciben un gran volumen de datos, que pueden incluir intérpretes de comandos para la administración remota de servidores web. En PT Application Firewall los modelos de aprendizaje automático que detectan web shells separan los datos legítimos de los maliciosos. Un modelo impide la carga de scripts ilegítimos mientras que otro detecta la actividad de web shells. Estos modelos se entrenan con datos sobre web shells procedentes de fuentes abiertas y ejemplos encontrados en las ciberbatallas de Standoff. Esta diversidad aumenta la cobertura de detección y permite identificar nuevos web shells que no podrían detectarse mediante un enfoque basado en reglas.
Para evaluar la precisión de la detección, el sistema utiliza conjuntos de datos de validación preparados por expertos. La evaluación inicial de la calidad se realiza durante la fase de CI/CD (integración continua/entrega continua). Después del entrenamiento del modelo, se inicia un proceso de aprendizaje virtual continuo (CML), que permite a los desarrolladores observar la diferencia en el rendimiento del modelo sobre los datos de validación dentro de una solicitud de fusión.
¿Qué tareas realiza el aprendizaje virtual en PT Application Firewall?
- Detección de shells maliciosas en solicitudes y respuestas. El modelo de aprendizaje automático determina la probabilidad de que un archivo descargado sea malicioso comparándolo con un valor umbral. El sistema utiliza un modelo de red neuronal convolucional (CNN) para la clasificación.
- Detección de código malicioso generado por Metasploit Framework en diversos formatos y codificaciones.
- Los modelos se entrenan utilizando cargas útiles creadas con Metasploit Framework y datos de la competencia Microsoft Malware Prediction.
Póngase en contacto
Complete el formulario y nuestros especialistas se pongán en contacto con usted en breve.