noviembre 16, 2012

Buscar una aguja en un pajar. Les presentamos a Astraea

En la oficina tenemos un pequeño enorme libro negro, cuidadosamente custodiado, que reúne una colección de hechos y cifras de KL y que  usamos en presentaciones públicas. Ya saben, cosas como cuántos empleados tenemos, cuántas oficinas y dónde, volumen de ventas, etc.  Una de las cifras del libro que se usan con mayor frecuencia es la cantidad diaria de nuevos programas maliciosos, alias, malware. Tal vez, esta cifra diaria es tan importante debido a lo increíblemente rápido que crece. De hecho, este crecimiento me sorprendió incluso a mí: hace un año, la cifra era de 70.000 muestras de malware (no se olviden, por día. En mayo de 2012, fue de 125.000 por día y, actualmente, por el martillo de Thor,  ya es de ¡200.000 por día!

Es en serio. A diario detectamos, analizamos y desarrollamos protección contra esa cantidad de programas maliciosos.

Es muy sencillo,  todo se basa en el conocimiento y la experiencia de nuestros expertos y de las tecnologías que derivan de esto,  las cuales se podrían compilar en otro enorme libro negro con las entradas en este blog . Por ejemplo, vean la etiqueta características. Al publicar artículos  sobre nuestra tecnología, muchos nos preguntan si no tememos que los ciberdelincuentes lean nuestras publicaciones. De hecho, nos preocupa un poco. Sin embargo, es más importante para nosotros que los usuarios tengan una mejor compresión sobre cómo funciona su (nuestra) protección y, además, qué es lo que motiva a los cibervillanos y cuáles son los trucos que usan en sus cibertrampas.

Hoy,  vamos a sumar otra muy importante incorporación a este volumen tecnológico: una sobre la tecnología Astraea. Este es uno de los elementos clave de nuestro sistema de nube KSN (video, detalles), que automáticamente analiza las notificaciones de computadoras protegidas y ayuda a descubrir amenazas hasta ahora desconocidas. En la realidad, Astraea tiene  otros muchos beneficios adicionales, beneficios que desde hace ya un tiempo nuestros analistas de seguridad no imaginan no tener en sus jornadas laborales. Por ello, como es mi costumbre en las publicaciones del blog tecnológico, permítanme que se los detalle, paso por paso.

Comencemos por otra estadística clave de BBB: 60 millones (o más). Esa es la cantidad de personas que hoy usa KSN. Y cuando digo “usa”, me refiero al constante intercambio con la nube de información sobre archivos, sitios, eventos del sistema y detecciones sospechosas, entre otros, que  se agrupa bajo el título “El entorno epidemiológico en Internet”.

Analizar este gigantesco flujo de KSN de forma manual en tiempo y forma es, como deben imaginar, prácticamente imposible. Es como buscar una aguja en un pajar. Pero al mismo tiempo, esa aguja (una muy valiosa) está justamente allí y buscarla es importante y, por eso, resolver esta tarea se trata básicamente de una cuestión de ingeniería de software de excelencia.

La verdad es que, con el adecuado enfoque en el proceso de ese flujo, es posible, como dice el dicho, matar tres pájaros de un  tiro: (i) con un mínimo esfuerzo, detectar, rápida y eficazmente malwar; , (ii) crear una valiosa base de datos estadística para mantenernos a la vanguardia tecnológica sobre las nuevas tendencias en el campo de la escritura de virus y (iii) construir un sistema de expertos en  desarrollo constante que brinde automáticamente “tratamientos”, manteniendo los falsos positivos al mínimo.

Bueno, ¡ahí  lo tienen! Ahora ya conocen las doctrinas básicas de Astraea, un sistema que procesa volúmenes colosales de datos para extraer resultados específicos, alias, “big data”, alias, búsqueda automática de la aguja en el pajar.

Y ahora, para rematarlos por completo, más cifras: más de 150 millones de notificaciones de KSN se ejecutan a través de Astraea a diario y, entre ellas s, se le dan calificaciones a 10 millones de objetos (archivos y sitios web).

Pero, ¿cómo funciona?

En la etapa inicial, y siguiendo el ejemplo del libro “Cómo hacer crowdsourcing”, Astraea recibe notificaciones sobre archivos y sitios sospechosos de los participantes de KSN. Se analizan y califican todos los eventos de forma automática desde el punto de vista tanto de la importancia (cómo son de  influyentes y utilizados   los objetos) como de la peligrosidad. El nivel de peligrosidad se calcula según  los pesos dinámicamente cambiantes, lo cual significa que entre las notificaciones y el sistema de expertos hay siempre retroalimentación. Actualmente, la lista de pesos se completa con   cientos de criterios, que nuestros analistas ajustan y reajustan regularmente, lo cual actualiza la propia lista. En resumen, la lista representa un gran cúmulo de conocimientos de analistas de seguridad cualificados, un conjunto de reglas que brindan una gran posibilidad de detectar  malware.

En la etapa final, Astraea envía a KSN las calificaciones que calculó, donde se hacen accesibles para todos los usuarios de sus productos y, así, se cierra el círculo. . Es más, mientras más grande sea la base estadística, es más probable que se descubran y supriman las apariciones de malware.

Gracias a las estadísticas que tenemos sobre el comportamiento de malware en las computadoras de los usuarios, Astraea sabe todo sobre las características de los malware, como la ausencia de firmas digitales, la presencia en el inicio automático, el uso de determinados empaquetadores, etc. Cuando Astraea comienza a recibir notificaciones que le indican que hay nuevos archivos con  características de malware, baja la calificación de “garantía” de estos archivos, según los datos acumulados. Como resultado, cuando la calificación de los archivos alcanza un límite crítico, el sistema los marca como totalmente maliciosos, crea las firmas necesarias y las transfiere a los usuarios a través de KSN. ¡Todo de forma totalmente automática!

De la misma manera, el sistema realiza una búsqueda preventiva de sitios maliciosos. Detecta recursos similares a los host o sitios maliciosos ya descubiertos que quieren hacerse pasar por legítimos. Aquí también se aplican muchos criterios, por ejemplo, coincidencia de direcciones de correo electrónico o del nombre del propietario, la fecha de registro del recurso, la presencia de archivos no confiables en el host, etc.

Lo importante es que el sistema no solamente calcula las calificaciones de los archivos y sitios, sino que los coteja para  obtener veredictos más precisos. Por lo tanto, es lógico asumir que un archivo descargado de un sitio que fue previamente advertido en la distribución de malware reciba una calificación más baja que un archivo descargado de un sitio “limpio”.

No hace falta decir que Astraea almacena el historial completo de interacciones con KSN, el cual nos ayuda a accionar contra una aparición en el mismo momento en que se produce y a ubicar su origen principal y también hacer un seguimiento de su desarrollo, tanto temporal como geográfico (en qué países surje). Además, estos datos se pueden usar:  (i) Para crear informes específicos y analizar tendencias, prácticamente de cualquier nivel de personalización: diferentes “primeros puestos” por países, host, archivos, familias de malware, etc. (además de informes comparados).  (ii) Para pronosticar el desarrollo de actividades cibercriminales en el perfil de ataques en distintas industrias.  (iii) Para pronosticar el ritmo de crecimiento de eventos maliciosos específicos en sus respectivos comportamientos y perfiles de plataformas de ataque.

¡Pero hay más!

Astraea es además un sistema de detección proactiva. Es decir, puede detectar,  no sólo amenazas conocidas, sino también amenazas planificadas que acaban de  formarse en la cabeza de los creadores  de virus. Gracias a la enorme base de datos de conocimientos sobre cómo se comportan los malware en el mundo real, podemos crear plantillas de comportamiento y también incorporarlas a KSN. El tiempo de reacción ante las nuevas amenazas es actualmente de 40 segundos, ¡pero con el enfoque proactivo será de cero!

Otro punto a favor de Astraea es la minimización de los falsos positivos.

Por un lado, el sistema funciona sobre una base estadística gigantesca y un modelo matemático muy perfeccionado, que combinados permiten reducir la cantidad de detecciones falsas a un mínimo. Desde 2010, cuando Astraea avanzó en su  batalla , nuestros especialistas no  recuerdan  haber vivido  ningún incidente más o menos importante.

Por otro lado, el sistema tiene incorporado un mecanismo que controla el factor humano. Este verifica de forma automática y sobre la marcha cada intento que hace un analista de seguridad de agregar una nueva entrada a la lista negra o blanca.

Un par de ejemplos simples:

El archivo “ABC” figura en la lista de archivos limpios (lista blanca) pero, de repente, Astraea recibe una notificación de que nuestro producto encontró un troyano en el archivo. El sistema encuentra una firma falsa, la marca como un falso positivo e inicia el proceso de pruebas y corrección de las detecciones.

O bien: un analista de seguridad, en un  arrebato  de pasión  (o durante una resaca) agrega el archivo “XYZ” a la lista negra. Sin embargo, el archivo ya figura en la lista blanca. El sistema le informa de  que es probable que esté un poco alterado  (o haya bebido demasiado la noche previa) y no le permite agregar la nueva entrada hasta que  haya recuperado.

De hecho, Astraea, en general, es un sistema que se expande continuamente y existen demasiados ejemplos de esto como para describirlos aquí.

Con Astraea lo que realmente hacemos es “cavar”  tanto en profundidad como en amplitud. Modernizamos el modelo matemático de análisis de datos, agregamos nuevos criterios y volvemos a evaluar los existentes, aportamos nuevas tecnologías para aumentar la velocidad y calidad de la detección de amenazas y ponemos en funcionamiento sistemas adyacentes para construir correlaciones complejas. En general y como siempre, nuestros planes son ambiciosos y de largo alcance, pero esto no es algo malo J. Y, como nos encontramos  en el culmen  de los troles de patentes, estamos patentando estos  sabrosos bocados. De los que ya están patentados, podemos encontrar la minimización de falsos positivos, las advertencias sobre apariciones de virus y la detección de amenazas previamente desconocidas.

 

LEER COMENTARIOS 0
Deja una nota
Facebook

enero 19, 2018

Los resultados preliminares confirman el éxito de Kaspersky Lab en 2017

¡Hola, amigos! En contra de la tradición y sin que sirva de precedente, este año decidimos no esperar a nuestra auditoría financiera y publicar inmediatamente los resultados preliminares de ventas del año pasado. En los negocios, la cifra más importante del año son los ingresos. Así que, durante el 2017, las ventas de nuestros productos, […]

octubre 26, 2017

Más transparente que el aire que respiras

La reciente campaña negativa contra KL de la prensa estadounidense no fue de nuestro agrado, pero sacamos algo bueno de todo esto: nos ha permitido hacer ciertas observaciones y deducciones

octubre 26, 2017

¡KL ganó el Gartner Platinum Award!

Como ya habrán visto, las noticias sobre nuestra pequeña (pero muy progresiva en tecnología) empresa informática se han convertido en una especie de Cataratas del Iguazú.

julio 6, 2017

Feliz cumpleaños a nosotros: ¡20 años (por ahora)!

¡Bzzzzz! ¿Qué ha sido eso? Eso, señoras y señores, ¡era la historia de la ciberseguridad pasando! Hace 28 años, en otoño de 1989, atacaron mi Olivetti M24 con un virus, lo que cambió mi vida y muchas otras. Si tan siquiera ese virus hubiera sabido de quién era el ordenador que estaba atacando y cuántos […]

Más

Vlog de Viajes