ARGOMENTI SULLA SICUREZZA

Apprendimento automatico –
nuove frontiere nella rilevazione avanzata delle minacce

Symantec utilizza l'apprendimento automatico avanzato – tramite gli endpoint e il cloud – per analizzare gli attributi, i comportamenti e le relazioni dei file.

Apprendimento automatico

L'apprendimento automatico rappresenta una delle tendenze tecnologiche attualmente più in voga, grazie al suo impulso innovativo e al crescente interesse che sta suscitando nel panorama tecnologico di aziende e privati. Nel settore della sicurezza informatica, molte aziende rivendicano legittimamente di adottare qualche forma di apprendimento automatico, anche se spesso non è chiaro cosa questo significhi, come funzioni o perché sia importante.

In questa sezione, approfondiremo alcuni aspetti dell'investimento di Symantec nell'apprendimento automatico e su come questo ha favorito importanti innovazioni all'interno di Symantec Endpoint Protection 14.

 

Il nuovo software, annunciato la scorsa settimana, si avvale di tecnologie di apprendimento automatico all'avanguardia per bloccare un numero di attacchi maggiore rispetto alla concorrenza e alza notevolmente il livello di guardia contro i criminali informatici. Per ottenere questo risultato, combiniamo un approccio multilivello con un'enorme quantità di dati, algoritmi e tecniche avanzate, e un sistema di automazione finalizzato ad anticipare i criminali informatici.

 

Sicurezza dei siti Web

Symantec Endpoint Protection 14

Center for Advanced Machine Learning di Symantec

L'attività di apprendimento automatico è diretta dal Center for Advanced Machine Learning di Symantec, che è stato istituito nel 2014. Il team è attualmente composto da più di 20 esperti che svolgono un intenso lavoro di ricerca e sviluppo su architetture, algoritmi e applicazioni di apprendimento automatico per rispondere alle sfide in tema di gestione della sicurezza e delle informazioni. Questo comprende ricerca all'avanguardia su apprendimento in profondità, programmazione probabilistica, apprendimento per rinforzo e metodi bayesiani non parametrici. 

Per Symantec Endpoint Protection 14, il gruppo ha collaborato con gli esperti di sicurezza di Symantec per sviluppare un set di tecnologie di apprendimento automatico che interagiscano reciprocamente per esaminare le tre dimensioni principali degli attacchi. 

L'aspetto positivo di queste tre dimensioni è che sono complementari tra di loro, così ciascuna può essere aggressiva nel bloccare le minacce perché le altre due fungono da “verifica” delle sue conclusioni.

 

Tre dimensioni principali degli attacchi

Le tre dimensioni forniscono collettivamente una valutazione della minacce su più livelli analizzando cos'è un file (statica), come si comporta (dinamica) e – tramite il cloud – quali relazioni ha con altri file, sistemi e indirizzi URL (provenienza):

  • Attributi statici:  iniziamo ispezionando migliaia di caratteristiche statiche di un file - aspetti come nome file, chiamate di funzione, entropia, ecc.
  • Comportamenti dinamici:  entriamo quindi nel dettaglio per comprendere i comportamenti dinamici di un programma. Esaminiamo combinazioni di migliaia di comportamenti: ad esempio, se il programma si connette alla rete, se esegue un altro processo, se accede alle chiavi di registro, ecc.
  • Relazioni e reputazione:  per completare il quadro, esaminiamo le relazioni del file con altri file, sistemi e indirizzi URL per genere una sua “reputazione".Ispirata dal “giudizio delle persone”, questa analisi della reputazione viene eseguita a livello di big data nel nostro cloud, e ci consente di comprendere se un programma osservato su uno o più sistemi in giro per il mondo può essere nocivo. 

Big data + modelli predittivi = Protezione più intelligente

I big data costituiscono il fulcro dell'apprendimento automatico di Symantec. Grazie alla nostra ampia presenza nei sistemi di sicurezza per endpoint, reti e cloud, abbiamo a disposizione dati sulle minacce e sugli attacchi generati da oltre 175 milioni di endpoint e 57 milioni di sensori di attacco monitorati quotidianamente in tempo reale. Questo si traduce in miliardi di file e circa quattro trilioni di relazioni. Si tratta di un set di dati enorme e significativo per addestrare i nostri sistemi di classificazione a stabilire cosa è “buono”, cosa è “cattivo” e cosa si trova nel mezzo.

Ciò è importante perché i dati rappresentano  la base dell'apprendimento automatico. Ne sono necessari molti. Tanto maggiore è la quantità di dati a disposizione, tanto “più lontano” è possibile andare nella realizzazione di tecnologie di rilevamento precise ed efficaci. I dati devono anche essere significativi. Tanto più vari e significativi sono i dati in input, tanto più probabile è la scoperta di importanti relazioni nascoste. Fondamentalmente, la validità dei sistemi di apprendimento automatico è pari alla qualità, varietà e significatività dei set di dati utilizzati per il loro addestramento – e i nostri traggono vantaggio dalla più grande rete civile di intelligence sulle minacce del mondo.

Se i dati sono la base, gli algoritmi costituiscono il  motore dell'apprendimento automatico. Gli algoritmi prendono i dati e producono modelli che vengono utilizzati per fornirci previsioni, ad esempio, determinando se un file è nocivo. Le aziende fanno molto rumore intorno ad algoritmi e modelli perché sono di moda e ne appaiono di nuovi continuamente. Il trucco sta nel saper combinare l'algoritmo corretto con l'attività e i dati a disposizione, che è di fatto l'ingrediente segreto dei professionisti dell'apprendimento automatico.

Tecniche principali

Una delle tecniche principali utilizzate da noi è quella di “ensembling”, o esecuzione di insieme, che è un modo particolare per dire “utilizza molti modelli e combinali in modo efficace”. È essenziale per ottenere i migliori modelli possibili ed è un approccio notoriamente utilizzato nel famoso  Premio Netflix di 1 milione di dollari. Noi aggiungiamo qualche “tocco di magia” attraverso tecniche di ensembling proprietarie che consentono ai nostri sistemi di apprendere il modo migliore per combinare le previsioni di molti modelli diversi, anche quando durante l'addestramento non sappiamo quali sono le previsioni corrette.

Un'altra tecnica importante che utilizziamo è “l'adattamento”. I nostri modelli di sicurezza devono essere affinati continuamente per tenere traccia degli avversari, dei cambiamenti nel panorama del software e delle reti, oltre che dell'evoluzione del comportamento degli utenti. Queste sono difficoltà significative per l'apprendimento automatico tradizionale. Nel caso di Symantec Endpoint Protection, utilizziamo un “meta-algoritmo” chiamato boosting, che opera migliorando iterativamente il modello, focalizzandosi di volta in volta sugli errori commessi in precedenza e correggendoli senza “dimenticare” ciò che c'era corretto.

Infine, un aspetto non meno importante per noi è che l'automazione è essenziale per  dimensionare l'apprendimento automatico. Noi creiamo automazione per l'intero processo di apprendimento automatico – dall'acquisizione, pulizia ed elaborazione dei nostri dati di telemetria fino all'ottimizzazione ed esplorazione dei vari modelli. Senza automazione (e, ovviamente, sufficiente potenza di calcolo) non sarebbe possibile “macinare tutti i numeri” e produrre i modelli migliori. 

Qual è il risultato finale?

In poche parole, Symantec ha il più avanzato apprendimento automatico a disposizione per la sicurezza degli endpoint. Recentemente, un'importante organizzazione di test indipendente (AV-Test) ha testato Symantec Endpoint Protection 14, che ha superato tutti i concorrenti per capacità di rilevamento e prestazioni con una quantità minima di falsi positivi. Anche nei test di “scansione” artificiali, il nuovo software ha rilevato quasi il 100% delle minacce con una percentuale di falsi positivi vicina allo zero. (Aspetto importante, i risultati dei falsi positivi in Symantec Endpoint Protection 14 possono essere affinati per soddisfare i requisiti di policy del cliente.)

Siamo estremamente interessati alle nuove frontiere nella rilevazione delle minacce rese possibili dall'apprendimento automatico e dall'intelligenza artificiale. Utilizzate correttamente, e con le massicce quantità di dati significativi ed eterogenei che vengono analizzati sugli endpoint e nel cloud, queste tecnologie possono trasformare realmente il modo di combattere il crimine informatico.

Per ulteriori informazioni, guarda il Webinar su richiesta sulle  funzionalità e i vantaggi dell'apprendimento automatico in Symantec Endpoint Protection 14. Consulta  qui altre informazioni sul nuovo prodotto.

Verifica subito la sicurezza del tuo sito Web

Symantec CryptoReport

Controlla l'installazione del tuo certificato SSL/TLS

VERIFICA ADESSO

Valutazione delle vulnerabilità

Una vulnerabilità è un potenziale punto di ingresso attraverso il quale funzionalità o dati di un sito Web possono venire danneggiati, scaricati o manipolati. Un tipico sito Web, anche il blog più elementare, può avere migliaia di potenziali vulnerabilità.

Continua la lettura

Importanza di utilizzare un firewall

Importanza dell'uso di un firewall per la protezione dalle minacce

Mentre il software antivirus aiuta a proteggere il file system contro i programmi indesiderati, un firewall aiuta a impedire che criminali informatici o minacce esterne ottengano accesso al tuo sistema.

Continua la lettura

Account Instagram violati

Account Instagram violati, alterati per promuovere spam di appuntamenti per adulti

Gli scammer stanno violando account Instagram e alterando i profili con immagini di richiamo sessuale per attirare utenti  verso spam di appuntamenti e pornografia per adulti.

Continua la lettura

CASI DI UTILIZZO

Soluzioni Symantec Website Security nel mondo reale

Aderisci alla Community

Partecipa alle discussioni sulla sicurezza in Symantec Connect

SYMANTEC CONNECT

Segui l'intelligence sulle minacce su Twitter @Threatintel

SYMANTEC ON TWITTER

Guarda i video sul canale Symantec Website Security di YouTube

SYMANTEC ON YOUTUBE