As tecnologias de aprendizado de máquina permitem a criação de sistemas inteligentes capazes de se adaptar a novos tipos de ataques e aprender com incidentes anteriores. Isso aumenta a eficiência das equipes de segurança, permite uma resposta rápida a ameaças e minimiza os riscos potenciais. No entanto, os cibercriminosos também utilizam ativamente o aprendizado de máquina, o que exige métodos de defesa adequados.
/pt/products/mpsiem/MaxPatrol SIEM
/pt/products/sandbox/PT Sandbox
/pt/products/mp-vm/MaxPatrol VM
/pt/products/af/PT Application Firewall
Aprendizado de máquina na segurança cibernética
O aprendizado de máquina revolucionou a segurança cibernética. No passado, a segurança cibernética dependia de sistemas de proteção baseados em regras e de analistas. No entanto, com o advento do aprendizado de máquina, a detecção e a resposta a incidentes de segurança tornaram-se muito mais eficazes. Ao analisar grandes quantidades de dados e aprender com eles, os algoritmos de aprendizado de máquina podem identificar padrões e anomalias que indicam possíveis ameaças e tomar medidas para preveni-las ou mitigá-las
Este texto foi gerado por inteligência artificial (IA)
01
O aprendizado de máquina resolve todas as tarefas de segurança cibernética aplicadas
Por que usar aprendizado de máquina na segurança cibernética?
Os hackers não descansam
O aprendizado de máquina ajuda a desenvolver e aperfeiçoar ataques que as defesas tradicionais não conseguem detectar.
Fluxos crescentes de informação
Os especialistas em segurança enfrentam dificuldades para gerenciar fluxos de dados, estabelecer correlações e identificar ameaças desconhecidas manualmente.
Dano crescente
Sanções governamentais mais rigorosas em caso de violações de dados aumentam os riscos para as empresas e exigem soluções eficazes contra as ameaças cibernéticas.
Que tarefas de segurança o aprendizado de máquina resolve?
02
Aprendizado de máquina na Positive Technologies
Nosso objetivo é garantir que nossos produtos previnam, detectem e respondam automaticamente às ameaças. Os modelos de aprendizado de máquina (ML) dos produtos da Positive Technologies aprendem continuamente com base em nossa experiência e nos dados dos usuários, incluindo o autoaprendizado. Graças ao aprendizado de máquina, as equipes de segurança eliminam tarefas repetitivas, os analistas obtêm informações valiosas para a detecção de ameaças e os gerentes podem priorizar com eficácia a correção de vulnerabilidades na infraestrutura.
Desenvolvemos modelos de aprendizado de máquina que detectam as táticas mais perigosas dos hackers:
03
Por que usamos tecnologias de aprendizado de máquina nos produtos
Os sistemas de proteção começam por coletar dados brutos, como registros, tráfego e arquivos executáveis. Essas informações devem ser padronizadas para detectar ataques, identificar incidentes de segurança e conduzir investigações. O aprendizado de máquina deve ser aplicado em todas as etapas, desde o trabalho com dados brutos até a criação de relatórios de incidentes.
Principais eixos de desenvolvimento de ML na Positive Technologies
04
ML nos produtos da Positive Technologies
MaxPatrol SIEM
As regras definidas por especialistas nos sistemas SIEM ajudam a rastrear comportamentos suspeitos. No entanto, muitos cenários de ataque não podem ser descritos ou detectados dessa forma. Os modelos de aprendizado de máquina realizam essa tarefa com eficácia.
O módulo BAD (Detecção de Anomalias Comportamentais) do MaxPatrol SIEM atua como um sistema de "segunda opinião" que melhora a eficácia da detecção de ataques por meio de métodos alternativos de análise de eventos e da avaliação da confiabilidade de cada gatilho em uma escala de 100 pontos. O BAD também detecta de forma independente ataques direcionados, atuando como uma segunda camada de defesa.
Os 49 modelos de ML estão divididos em vários tipos e subtipos:
- Atividade do processo
- Atividade de execução do processo
- Atividade dos processos de rede
- Acesso do processo a tubulações locais
- Relações entre processos em diferentes hosts
- Atividade de acesso
- Acesso a recursos compartilhados em rede
- Acesso ao canal de rede
O módulo BAD incorpora resultados de modelos de aprendizado de máquina e regras de correlação, permitindo que as equipes de segurança tomem decisões rápidas e precisas ao analisar gatilhos.
No MaxPatrol SIEM, o módulo BAD:
- Detecta de forma independente ataques direcionados e anomalias até então desconhecidas.
- Coleta dados sobre eventos e usuários, atribui pontuações de risco e fornece avaliações alternativas com base em seus algoritmos.
- Ajuda os analistas a tomar decisões de segurança com maior rapidez.
- Permite a detecção rápida de ameaças até então desconhecidas que permanecem invisíveis em fluxos de dados fragmentados.
PT NAD
Na PT NAD, o aprendizado de máquina ajuda a:
- Detectar atividades anômalas nos nós utilizando regras de perfilagem.
- Identificar aplicativos que se ocultam dos sistemas de análise de tráfego de rede.
Regras de criação de perfis de usuário (UPR)
Os UPRs permitem configurar filtros e monitorar o comportamento dos participantes da rede no tráfego de interesse. O aprendizado de máquina identifica anomalias no tráfego e automatiza o processo de tomada de decisão para detectar atividades maliciosas. Você pode criar seus próprios filtros ou utilizar regras padrão desenvolvidas em colaboração com o PT Expert Security Center (PT ESC).
Em cada filtro, é possível especificar uma única característica (como o número de bytes enviados ou conexões únicas), agrupar dados por objeto (cliente, servidor ou par cliente-servidor) ou selecionar dados de toda a rede, bem como definir um intervalo de tempo. Uma anomalia é definida como o ultrapassamento de um limite específico em uma ou mais séries temporais. O modelo de aprendizado de máquina possui três níveis de sensibilidade (baixo, médio e alto) e pode ser acionado tanto por desvios menores quanto por desvios significativos.
PT Sandbox
O modelo de aprendizado de máquina no PT Sandbox realiza parte da análise comportamental dos arquivos. A análise dinâmica consiste em executar arquivos em um ambiente virtual, registrar seu comportamento e analisar o log resultante. Cada processo em execução deixa para trás uma sequência de chamadas de sistema (um rastro) por meio das quais interage com o sistema operacional. A equipe de ML da Positive Technologies analisou inúmeros rastros maliciosos e inofensivos para identificar sequências características de malware, incluindo solicitações de rede à Internet, operações com arquivos e acessos ao registro. Essas chamadas são reduzidas a um vetor de características final que é processado pelo modelo de aprendizado de máquina, o qual, em seguida, classifica o comportamento como "ruim" ou "bom".
Para implementar esses modelos de aprendizado de máquina no produto, é utilizada uma pilha de tecnologias específica: o PT Sandbox utiliza código Python, o modelo de aprendizado de máquina é serializado usando ONNX e o MLflow é utilizado para o acompanhamento de experimentos e como repositório de artefatos. Além disso, o modelo é treinado com um fluxo diário de exemplos e um conjunto de dados de referência que exclui falsos positivos, proporcionando resultados de detecção altamente precisos.
Tarefas que o modelo de ML no PT Sandbox ajuda a realizar:
- Detecção de cadeias de subprocessos anômalas. Um grande número de sequências ramificadas é, por si só, legítimo. No entanto, o número de nós, a profundidade de aninhamento e a repetição ou exclusividade dos nomes dos processos só podem ser analisados de forma eficaz pelo modelo de aprendizado de máquina.
- Detecção de valores fora do padrão nos parâmetros de chamada. Na maioria dos casos, os analistas concentram-se em parâmetros funcionais significativos ao procurar por malware. O modelo de aprendizado de máquina analisa com eficácia os parâmetros restantes.
- Análise de sequências atípicas de chamadas de função. Às vezes, funções isoladas ou combinações de funções podem parecer inofensivas, mas sua sequência não é encontrada em softwares legítimos. Um analista precisaria de muita experiência para identificar esse padrão manualmente. O modelo de aprendizado de máquina detecta esses padrões por meio de classificação, utilizando características que não foram predefinidas como indicadores de atividade maliciosa.
A principal função do aprendizado de máquina no PT Sandbox é melhorar continuamente a precisão dos resultados ao determinar se um objeto é malicioso. Ao analisar mais de 8.500 características do comportamento dos objetos, o modelo de aprendizado de máquina garante uma alta qualidade de detecção, algo inatingível para sistemas que utilizam métodos padrão de detecção de malware.
MaxPatrol VM
A avaliação do potencial de viralização de vulnerabilidades (CVEs) com base no número de menções em bancos de dados (uma abordagem estatística) apresenta uma desvantagem significativa: existe o risco de uma vulnerabilidade só ser reconhecida como viral quando já estiver sendo explorada ativamente.
A abordagem de aprendizado de máquina inclui as seguintes etapas:
- A base de dados de publicações sobre CVEs é atualizada regularmente.
- Uma vez por dia, o modelo calcula previsões sobre vulnerabilidades com base em uma dúzia de parâmetros, incluindo data de publicação, número de comentários, compartilhamentos, curtidas, texto da publicação e reações.
- As 20 principais vulnerabilidades (CVEs) previstas são enviadas a especialistas para análise.
O modelo de aprendizado de máquina é treinado com base em características tanto textuais (conteúdo das publicações) quanto quantitativas (como número de assinantes, reações e menções a vulnerabilidades) e prevê vulnerabilidades em alta antes que o número de menções a elas ultrapasse um valor limite. Os especialistas realizam a avaliação final do desempenho do modelo utilizando métricas de qualidade.
O uso do modelo de aprendizado de máquina no MaxPatrol VM permite que os especialistas identifiquem de forma eficiente e rápida quais CVEs requerem atenção e forneçam rapidamente informações sobre vulnerabilidades em destaque ao produto.
PT Application Firewall
Os produtos que analisam o tráfego HTTP recebem um grande volume de dados, que podem incluir interfaces de comando para o gerenciamento remoto de servidores web. No PT Application Firewall, os modelos de aprendizado de máquina que detectam web shells distinguem dados legítimos dos maliciosos. Um modelo impede o carregamento de scripts não autorizados, enquanto outro detecta atividades de web shell. Esses modelos são treinados utilizando dados de web shells provenientes de fontes abertas e exemplos encontrados durante as batalhas cibernéticas do Standoff. Essa diversidade amplia a cobertura de detecção e permite identificar novos web shells que não podem ser detectados por meio de uma abordagem baseada em regras.
Para avaliar a precisão da detecção, o sistema utiliza conjuntos de validação preparados por especialistas. A avaliação inicial da qualidade ocorre durante o CI/CD. Após o treinamento do modelo, é iniciado um processo de aprendizado de máquina contínuo (CML), permitindo que os desenvolvedores observem a diferença no desempenho do modelo nos dados de validação dentro de uma solicitação de mesclagem.
Quais tarefas o ML realiza no PT Application Firewall?
- Detecção de shells maliciosos em solicitações e respostas. O modelo de aprendizado de máquina determina a probabilidade de um arquivo baixado ser malicioso, comparando-o com um valor limite. O sistema utiliza um modelo de rede neural convolucional (CNN) para classificação.
- Detecção de shellcode gerado pelo Metasploit Framework em vários formatos e codificações.
- Os modelos são treinados utilizando cargas úteis criadas com o Metasploit Framework e dados da competição Microsoft Malware Prediction.
Entre em contato
Preencha o formulário, em breve um de nossos especialistas entrará em contato com você.