TECHNOLOGY

Análisis de macrodatos con Astraea

Este avanzado sistema acumula todas las estadísticas y metadatos de objetos sospechosos en todo el mundo y en tiempo real, lo que permite que las decisiones de detección estén disponibles de inmediato a todos los usuarios a través de la nube de Kaspersky Security Network.

La tecnología de Astraea constituye el "cibercerebro en la nube" clave de Kaspersky Security Network (KSN), otro elemento de la protección multicapa de última generación de Kaspersky. El sistema agrega todas las estadísticas y la metainformación recopiladas sobre actividades y amenazas sospechosas en todo el mundo y en tiempo real; además, toma decisiones de detección con respecto a objetos maliciosos. Luego, todos los usuarios dispondrán inmediatamente de esta información a través de Kaspersky Security Network.

Cada día más de 80 millones de usuarios se benefician del uso del servicio de la nube de KSN. Los productos Kaspersky solicitan y reciben información sobre la reputación de objetos solicitados, y participan en el uso compartido de estadísticas con metainformación sobre objetos sospechosos. Esto permite contar con un flujo de cientos de millones de notificaciones y cientos de gigabytes diarios.

Todos estos datos se reenvían a un sistema avanzado de filtrado y detección llamado Astraea. El sistema verifica la coherencia de los datos entrantes para evitar cualquier intento -incluso hipotético- de manipulación de datos. A continuación, los datos se acumulan en una base de macrodatos de objetos como archivos, direcciones URL, etc. con la metainformación correspondiente y los enlaces entre ellos.

Por ejemplo, un producto podría enviar información sobre un objeto sospechoso, por ejemplo:

Objeto 0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
El nombre del objeto es "revised invoice list.docx.exe"
El objeto se ubica en el archivo "revised invoice and packing list.docx.zip"
El objeto se inició desde la ruta de archivo c:\windows\temp
El objeto no tiene firma
Etc.

Después de agregar la información entrante, es posible generar el siguiente tipo de datos:

La fecha en que un archivo en particular se da a conocer en el mundo
La lista completa de direcciones URL desde las que se descargó o solicitó el archivo
La lista completa de rutas en que se almacenó alguna vez en el disco
La lista completa de detecciones del archivo, si se detectó
La lista completa de procesos que inició el archivo
La prevalencia de archivos y su modificación en el tiempo

Cada objeto se verifica sobre la base de una gran lista de indicadores creados por expertos y sistemas avanzados. Por ejemplo, es posible que sea importante comprobar:

Si el archivo tiene una extensión doble en el momento de la ejecución ("MyPhotos.jpg.exe")
Si el archivo se ubica en la carpeta C:\Windows\System32, aunque esté comprimido y tenga el atributo de archivo "oculto"
Si el archivo tiene una extensión obsoleta (p. ej., ".com", ".pif", etc.)
Si el nombre del archivo es muy similar a un archivo del sistema que es de confianza, con solo una diferencia (p. ej., "svcnost.exe")
Si el archivo lo descargó un recurso que ya se conoce que es malicioso
Etc.

Cuando se analiza con la lista de reglas, cada objeto obtiene una puntuación calculada de riesgo de objeto. Astraea utiliza esta puntuación a fin de tomar una decisión avanzada para determinar si el objeto es malicioso o no. Por lo tanto, mientras más información se recopila sobre un objeto, más precisa será la conclusión automática. Es evidente que, en algunos casos, podría no ser suficiente información sobre el objeto para hacer un veredicto. Si este es el caso, la calificación se recalculará más tarde después de recopilar información adicional.

Una vez que Astraea genera su veredicto sobre el objeto, lo transfiere al servicio en la nube de Kaspersky Security Network, lo que le permite comunicarse inmediatamente con usuarios de todo el mundo.

Es importante tener en cuenta que la lógica del sistema no es estática; el sistema se capacita automática y permanentemente. En el mundo en que los creadores de malware siempre verifican su código contra la detección por parte de las soluciones de seguridad y lo preparan mediante nuevas técnicas, el sistema de indicadores podría convertirse en algo ilusorio, y fácilmente podría disminuir la eficiencia de la tasa de detección y aumentar los falsos positivos. Esto significa que se debe comprobar la eficiencia de los indicadores por separado y de la lista completa de estos, y que, además, se deben actualizar dinámicamente según la información recopilada de los conocimientos avanzados y en la base de datos de Kaspersky.

Desde su inicio en el 2012, el porcentaje de detecciones creadas por Astraea en comparación con el número total de nuevas detecciones aumentó de un 7,53 a un 40,5 % a finales del 2016 (323 000 nuevas detecciones diarias), con un total de mil millones de archivos maliciosos únicos.

Productos relacionados

Tecnologías relacionadas

Inteligencia de amenazas para nubes: Kaspersky Security Network (KSN)

La compleja infraestructura de nube recopila y analiza los datos de ciberseguridad de millones de participantes voluntarios en todo el mundo, para proporcionar la reacción más rápida a las nuevas amenazas mediante el análisis de macrodatos, el aprendizaje automático y la experiencia humana.

Aprendizaje automático en ciberseguridad

Todos nuestros métodos de aprendizaje automático (ML) (conjuntos de árboles de decisiones, hash confidencial de las localidades, modelos de comportamiento o agrupamiento en clúster de flujo entrante) están diseñados para cumplir con los requisitos de seguridad del mundo real: bajo índice de falsos positivos, capacidad de interpretación y solidez frente a un posible adversario.

Enfoque multicapa para la seguridad

La verdadera ciberseguridad se debe basar en la sinergia de diversas técnicas de protección, desde los registros antivirus clásicos, hasta la detección basada en el comportamiento con modelos de aprendizaje profundo.