Technology

Protección basada en comportamiento

El motor de detección de comportamientos de amenazas, que usa modelos basados en aprendizaje automático, puede detectar patrones maliciosos desconocidos en las primeras etapas de ejecución, mientras que la protección de la memoria y el motor de corrección evitan la exposición y la pérdida de los datos de los usuarios.

La detección basada en el comportamiento es parte del enfoque de protección multicapa y de última generación de Kaspersky. Es una de las maneras más eficientes de protegerse contra amenazas avanzadas como los malware que no utilizan archivos, los ransomware y los malware de día cero.

Las siguientes capacidades de protección conforman el motor de comportamiento de amenazas de Kaspersky:

Detección del comportamiento
Prevención de exploits
Motor de corrección
Antibloqueador

En la vida real, los cibercriminales enmarañan los códigos maliciosos para que puedan evadir las tecnologías de detección estática y la emulación mediante productos de seguridad. Por ejemplo, el código de ransomware creado recientemente a menudo viene con un empacador personalizado con una función antiemulación. Antes de la ejecución, cualquier intento de analizar la bien elaborada muestra mediante un análisis a pedido o un análisis durante el acceso no indicará resultados en la detección, por lo que la tarea del cibercriminal se llevará a cabo.

Pero durante la etapa de ejecución, el motor de comportamiento de amenazas analiza la actividad efectiva del proceso en tiempo real y revela su naturaleza maliciosa. Todo lo que se necesita después es marcar la alarma y finalizar el proceso para que el motor de corrección realice la reversión de los cambios.

En el ejemplo mencionado con ransomware comprimido, la muestra podría intentar realizar las siguientes acciones:

Encontrar archivos importantes en el sistema de destino
Cifrar archivos importantes
Eliminar archivos originales
Eliminar copias instantáneas

Dicha información es suficiente para la detección y no depende de las técnicas del empaquetador o antiemulación utilizadas. Cuando se utiliza el motor de comportamiento de amenazas, el cual está protegido tanto por modelos basados en el aprendizaje automático como por la heurística del comportamiento, el producto deja de ser confidencial para las técnicas de evasión estáticas e incluso para las modificaciones del comportamiento de la muestra.

Mediante la toma de decisiones basadas en comportamientos, es importante detectar las actividades maliciosas lo antes posible, lo que, en combinación con el motor de corrección adecuado, permite prevenir la pérdida de datos de cualquier usuario final. El motor de corrección protege diferentes objetos, como archivos, claves de registro, tareas, etc.

Con la muestra anterior, supongamos que antes de que se efectuara la actividad maliciosa real, el ransomware se agregó a sí mismo a la ejecución automática (por ejemplo, a través del registro). Después de la detección, el motor de corrección debe analizar el flujo de comportamiento y no solo restaurar los datos del usuario, sino también eliminar la clave de registro creada.

Entre otras ventajas, en algunos casos, la tecnología de detección basada en el comportamiento se convierte en el único medio para detectar y protegerse de una amenaza como un malware que no utiliza archivos. Por ejemplo, mientras navega por Internet, un usuario es el objetivo de un ataque drive-by. Después de aprovechar el exploit, el código malicioso se ejecuta en el contexto del navegador web. El objetivo principal del código malicioso es utilizar suscripciones WMI o de registro para efectos de persistencia, y esto termina sin un solo objeto para realizar una detección estática. Sin embargo, el componente de detección de comportamiento analiza el comportamiento del subproceso del navegador de Internet, marca la detección y bloquea la actividad maliciosa.

Los componentes del motor de comportamiento se benefician de los modelos basados en el aprendizaje automático en el endpoint para detectar patrones maliciosos anteriormente desconocidos, además de registros heurísticos de comportamiento. Los eventos del sistema que se recopilan de diferentes fuentes se incluyen en el modelo de aprendizaje automático. Después del procesamiento, el modelo de aprendizaje automático genera un veredicto si el patrón analizado es malicioso. Incluso en el caso de un veredicto no malicioso, la heurística del comportamiento usa el resultado del modelo de aprendizaje automático, que, a su vez, también puede alertar la detección.

El componente de detección de comportamiento implementa un mecanismo de protección de memoria. Protege los procesos críticos del sistema como lsass.exe y permite prevenir las filtraciones de credenciales de usuario con la ayuda de malware como mimikatz.

Productos relacionados

Tecnologías relacionadas

Aprendizaje automático en ciberseguridad

Todos nuestros métodos de aprendizaje automático (ML) (conjuntos de árboles de decisiones, hash confidencial de las localidades, modelos de comportamiento o agrupamiento en clúster de flujo entrante) están diseñados para cumplir con los requisitos de seguridad del mundo real: bajo índice de falsos positivos, capacidad de interpretación y solidez frente a un posible adversario.

Protección basada en comportamiento

Productos relacionados

Kaspersky Anti Targeted Attack Platform

Kaspersky Endpoint Security for Business

Kaspersky Small Office Security

Kaspersky Anti-Ransomware Tool for Business

Hybrid Cloud Security

Kaspersky Anti-Virus

Kaspersky Internet Security

Kaspersky Total Security

Tecnologías relacionadas

Aprendizaje automático en ciberseguridad

Prevención de exploits

Protección contra ransomware

Protección contra amenazas sin archivos

Enfoque multicapa para la seguridad

Resultados de referencia independientes