TEMAS DE SEGURIDAD

Aprendizaje automático:
nuevas fronteras en la detección avanzada de amenazas

Symantec utiliza aprendizaje automático avanzado, tanto en los terminales (endpoints) como en la nube, para analizar comportamientos, relaciones y atributos de archivo.

Aprendizaje automático

El aprendizaje automático es una de las tendencias tecnológicas del año que más repercusión está teniendo en el panorama empresarial y de consumo. Muchas empresas de seguridad informática afirman que emplean herramientas aprendizaje automático, pero no suele quedar claro qué significa ese concepto, cómo funciona o por qué es importante.

En esta sección, abordaremos con más detalle las inversiones de Symantec en aprendizaje automático y su aportación al desarrollo de importantes innovaciones en Symantec Endpoint Protection 14.

 

Como se anunció la semana pasada, el nuevo software emplea tecnologías de aprendizaje automático de última generación para bloquear más ataques que las herramientas de la competencia y dificultar enormemente las acciones de los atacantes. Para lograrlo, combinamos la protección multicapa con una cantidad ingente de datos, técnicas y algoritmos avanzados, así como un sistema de automatización para anticiparnos a los atacantes.

 

Seguridad de sitios web

Symantec Endpoint Protection 14

Centro de Symantec para el aprendizaje automático avanzado

Las labores de investigación sobre el aprendizaje automático comenzaron en 2014, año en se fundó el Centro de Symantec para el aprendizaje automático avanzado. En la actualidad el equipo cuenta con más de 20 expertos dedicados a la I+D de aplicaciones, algoritmos y arquitecturas de aprendizaje automático para afrontar los desafíos de seguridad y administración de la información. Entre otros, realizan trabajos de investigación avanzada sobre aprendizaje profundo, programación probabilística, aprendizaje por refuerzo y estimaciones bayesianas no paramétricas. 

Para Symantec Endpoint Protection 14, el grupo trabajó con los expertos en seguridad de Symantec para desarrollar un conjunto de tecnologías de aprendizaje automático que funcionara de forma colaborativa para examinar tres aspectos principales de los ataques. 

Estos tres aspectos se complementan a la perfección, de modo que cada uno de ellos puede frenar en seco las amenazas porque los otros dos sirven como “comprobación” de sus conclusiones.

 

Los tres aspectos principales de los ataques

Los tres aspectos proporcionan conjuntamente una evaluación de las amenazas en varios niveles al realizar un análisis de lo que es un archivo (estático), cómo se comporta (dinámico) y, a través de la nube, qué relaciones tiene con otros archivos, equipos y direcciones URL (procedencia):

  • Atributos estáticos:  Empezamos inspeccionando miles de características estáticas de un archivo (aspectos como el nombre de archivo, las llamadas a funciones, la entropía, etc.).
  • Comportamientos dinámicos:  A continuación, realizamos un análisis más profundo para comprender los comportamientos dinámicos de un programa. Observamos combinaciones de miles de comportamientos, por ejemplo, si el programa se conecta a la red, si inicia otro proceso, si accede a las claves de registro, etc.
  • Relaciones y reputación:  Para completar el proceso, examinamos las relaciones del archivo con otros archivos, equipos y direcciones URL para generar una “reputación” del archivo.  Inspirado por “la sabiduría popular”, este análisis de reputación se ejecuta en grandes volúmenes de datos a escala en nuestra nube y nos permite comprender si es probable que un programa que se ve en uno o en varios equipos de todo el mundo sea malicioso.

Grandes volúmenes de datos + modelos predictivos = protección más inteligente

Los grandes volúmenes de datos son el centro del aprendizaje automático de Symantec. Gracias a nuestros exhaustivos registros sobre seguridad de endpoints (terminales), redes y la nube, tenemos datos sobre amenazas y ataques de más de 175 millones de endpoints y supervisamos 57 millones de sensores de ataques en tiempo real cada día, minuto a minuto. Eso se traduce en miles de millones de archivos y casi cuatro billones de relaciones. Se trata de un conjunto de datos enorme y pormenorizado que permite a nuestros sistemas clasificar como “bueno”, “malo” y todas las categorías intermedias.

Esto es importante, ya que los datos son el  combustible del aprendizaje automático. Es recomendable contar con una gran cantidad de ellos. Cuantos más datos se tengan, más lejos se puede llegar a la hora de crear tecnologías de detección precisas y eficaces. También es recomendable que esos datos sean pormenorizados. Cuanto más diversas y pormenorizadas sean las entradas de datos, mayor probabilidad hay de descubrir relaciones ocultas importantes. En última instancia, los sistemas de aprendizaje automático son eficaces en la medida en que la calidad, la diversidad y el alcance de los conjuntos de datos que los alimentan también lo sean, y los nuestros cuentan con la mayor red civil de investigación de amenazas del mundo.

Si los datos son el combustible, los algoritmos son el  motor del aprendizaje automático. Los algoritmos recopilan los datos y crean modelos que se utilizan para hacer predicciones, por ejemplo, determinar si un archivo es malicioso. Las empresas no dejan de hablar de algoritmos y modelos porque están de moda y a todas horas aparecen algoritmos nuevos. La clave está en saber correlacionar el algoritmo adecuado con la tarea y los datos en cuestión, lo que vendría a ser el ingrediente secreto de los profesionales del aprendizaje automático.

Técnicas clave

Una de las técnicas clave que utilizamos es el “ensamblaje”, que es una forma sofisticada de decir “usar muchos modelos y combinarlos lo mejor posible”. Es un factor clave para obtener los mejores modelos posibles, y su uso se hizo muy famoso en el  Premio Netflix de un millón de dólares. Añadimos cierta “magia” mediante técnicas de ensamblaje patentadas que permiten a nuestros sistemas aprender cómo combinar mejor las predicciones de varios modelos, incluso cuando no sabemos durante el entrenamiento cuáles son las predicciones correctas.

Otra técnica clave es la “adaptación”. Nuestros modelos de seguridad deben ajustarse constantemente para controlar a los adversarios y supervisar los cambios tanto en el software y las redes como en el comportamiento de los usuarios. Se trata de obstáculos importantes para el aprendizaje automático tradicional. Para Symantec Endpoint Protection, usamos un “metalgoritmo” llamado boosting, que funciona mejorando un modelo de forma iterativa, es decir, centrándose en los errores que el modelo cometió previamente y corrigiéndolos sin “desaprender” lo que era correcto.

Por último, la automatización es primordial para que podamos  ampliar el aprendizaje automático. La integramos en todo el proceso de aprendizaje automático, desde la incorporación, la limpieza y el procesamiento de nuestros datos de telemetría hasta la optimización y la exploración de los distintos modelos. Sin la automatización (y sin la capacidad de procesamiento suficiente), simplemente no sería posible procesar todos los datos y crear los mejores modelos. 

¿Cuál es el resultado final?

En pocas palabras, Symantec cuenta con el aprendizaje automático más avanzado para la seguridad de terminales o endpoints de red. Recientemente, AV-Test, una reputada organización de pruebas independiente, evaluó las funciones de Symantec Endpoint Protection 14, que superó a todos sus competidores en cuanto a detección y desempeño, minimizando los falsos positivos. Incluso en pruebas de “análisis” artificiales, el nuevo software detectó casi el 100 % de las amenazas con un índice de falsos positivos cercano a cero. (Es importante destacar que la detección de falsos positivos en Symantec Endpoint Protection 14 se puede ajustar según los requisitos de cada cliente).

Estamos entusiasmados con las puertas que se abren en la detección de amenazas gracias a la inteligencia artificial y el aprendizaje automático. Si se usan correctamente y se nutren con grandes cantidades de datos pormenorizados de diversas fuentes tanto en los terminales (endpoints) como en la nube, estas tecnologías suponen un antes y un después a la hora de combatir a los atacantes.

Para más información, consulte el seminario web a solicitud sobre  las características y ventajas del aprendizaje automático en Symantec Endpoint Protection 14. Consulte más detalles sobre el nuevo producto  aquí.

Compruebe ahora la seguridad de su sitio web

Symantec CryptoReport

Compruebe la instalación de sus certificados SSL/TLS

PROBAR AHORA

Evaluación de vulnerabilidades

Una vulnerabilidad es un punto de entrada potencial mediante el cual se puede dañar, descargar o manipular la funcionalidad o los datos de un sitio web. Un sitio web típico (incluso el blog más simple) puede tener miles de vulnerabilidades potenciales.

Seguir leyendo

La importancia de utilizar un firewall

La importancia de utilizar un firewall para la protección contra amenazas

Mientras que el software antivirus le ayuda a proteger el sistema de archivos de programas no deseados, el uso de firewalls impide que los atacantes o las amenazas externas accedan a su sistema.

Seguir leyendo

Infiltraciones en cuentas de Instagram

Infiltraciones en cuentas de Instagram para promover el spam de citas para adultos

Los estafadores se están infiltrando en cuentas de Instagram y alterando los perfiles con imágenes de contenido sexual para atraer a los  usuarios a sitios pornográficos y de citas para adultos.

Seguir leyendo

Casos Prácticos

Soluciones de Symantec Website Security en el mundo real

Incorpórese a la comunidad

Participe en las conversaciones sobre seguridad en Symantec Connect

SYMANTEC CONNECT

Siga la información sobre amenazas en Twitter @Threatintel

SYMANTEC ON TWITTER

Vea videos en el canal de YouTube de Symantec Website Security

SYMANTEC ON YOUTUBE

Hemos actualizado nuestra Política de privacidad que se puede encontrar aquí.