4.3. Darktrace (Rastro Oscuro)
Darktrace es un sistema de detección de intrusiones (IDS) y de prevención de intrusiones (IPS) que puede ayudar a detectar y reconocer las ciberamenazas emergentes capaces de eludir las protecciones tradicionales de la seguridad de la información. Darktrace Immune System proporciona medios para que los equipos de seguridad se alejen de las soluciones en silos heredadas que ofrecen una visibilidad limitada, hacia la dirección de una única solución de «cerebro» de IA, que puede aprovechar el contexto de toda la empresa dejando a los adversarios menos oportunidades de esconderse. El sistema inmunitario de Darktrace funciona de forma similar al sistema inmunitario del cuerpo humano, que es un mecanismo de defensa natural contra infecciones y enfermedades, incluido el cáncer. Por ejemplo, el sistema inmunitario tiene una capacidad única para identificar lo que forma parte de nosotros y lo que no. El sistema inmunitario puede detectar y contener rápidamente bacterias, virus y otros agentes patógenos a diario, e incluso aquellos con los que nuestro cuerpo nunca se ha topado. El sistema inmunitario de Darktrace ha dado pasos hacia un enfoque completamente nuevo de la ciberdefensa siguiendo los mismos principios que el sistema inmunitario humano.
4.3.1. Enterprise Immune System (Sistema Inmune Empresarial) de Darktrace
La solución consiste en la tecnología Enterprise Immune System (EIS), que representa una capacidad central de una plataforma de aprendizaje autónomo más amplia y detecta amenazas en tiempo real. EIS interactúa con Cyber AI Analyst para permitir investigaciones autónomas de incidentes de seguridad y alimenta un marco de Respuesta Autónoma adaptable a través de Darktrace Antigena para contener la amenaza en segundos, sin depender de reglas o firmas. El sistema EIS identifica toda la gama de ciberamenazas, que difieren de un patrón ordinario conocido, dondequiera que aparezcan en las empresas. EIS es capaz de proteger a la fuerza de trabajo dinámica para contrarrestar los días cero, el ransomware y las amenazas internas. EIS cubre todo el ADN digital de una organización a través de la nube, los endpoints, el IoT y la red, haciendo frente incluso a los ataques más sutiles y persistentes [16].
La tecnología Enterprise Immune System (EIS) utiliza algoritmos de aprendizaje automático y principios matemáticos para detectar anomalías en la red de información de una organización. EIS funciona automáticamente, aprendiendo continuamente sin intervención humana. La IA de autoaprendizaje permite al sistema identificar toda la gama de ciberamenazas que se desvían de los patrones normales. EIS se basa en este tipo de tecnología de IA para comprender los comportamientos y relaciones dinámicos de una empresa, aprendiendo lo «normal» desde cero sin ninguna suposición previa y adaptándose continuamente a medida que evolucionan la empresa y el personal. El sistema detecta los primeros indicios de una amenaza cuando se desvía de la norma multidimensional. Los ataques pueden ser conocidos o desconocidos, internos o externos, sutiles o rápidos.
EIS utiliza enfoques matemáticos, lo que implica que no necesita aprovechar firmas o reglas, y puede identificar ataques de ciberseguridad desconocidos que no se hayan experimentado antes. El EIS tiene capacidad para identificar y responder a la mayoría de las ciberamenazas implementadas de forma competente, incluidas las amenazas internas ocultas en las redes de información. Utilizando el aprendizaje automático y las matemáticas, el EIS puede adaptarse y aprender automáticamente cómo se comporta cada usuario, dispositivo y red de información, con el fin de identificar comportamientos que reflejen ciberamenazas reales. La tecnología de autoaprendizaje de Darktrace proporciona a las empresas una visibilidad de la red de información y les permite responder de forma proactiva a las amenazas y reducir los riesgos [12].
4.3.2. Darktrace Cyber AI Analyst (Analista cibernético IA de Darktrace)
La iniciativa de investigación de Darktrace R&D Center, Cyber AI Analyst, fue diseñada para aumentar los equipos de seguridad y optimizar la investigación de amenazas. Cyber AI Analyst examina eventos cibernéticos incipientes en tiempo real y emula el pensamiento y el proceso de toma de decisiones de los analistas profesionales humanos para la clasificación y la elaboración de informes de forma autónoma. La tecnología aúna la intuición del analista profesional con la coherencia, velocidad y escalabilidad de la IA, pone de manifiesto las amenazas más prioritarias y compone todo el contexto en torno al ataque en un informe en lenguaje natural que pueden utilizar los ciberprofesionales y los equipos humanos de ciberseguridad. Además, la capacidad analítica de Cyber AI Analyst reduce el tiempo de triaje hasta en un 92% [15].
Cyber AI Analyst utiliza varias tecnologías de inteligencia artificial, como el aprendizaje profundo y el aprendizaje automático supervisado y no supervisado. El propósito de utilizar tecnologías de IA es combatir los nuevos ciberataques que pueden eludir las defensas de seguridad tradicionales basadas en reglas, como cortafuegos y puertas de enlace basadas en firmas, y además pueden penetrar las defensas para acceder a cuentas y recursos compartidos de archivos. El panorama de las amenazas evoluciona rápidamente y, cuando se reconoce a un adversario presente, ya puede haberse transformado en una amenaza inidentificable. Situaciones como ésta ponen de manifiesto la necesidad de utilizar tecnologías de inteligencia artificial para identificar amenazas sofisticadas novedosas e irreconocibles, que no es posible detectar utilizando sistemas convencionales [17].
El aprendizaje automático no supervisado no requiere datos de entrenamiento etiquetados, pero puede identificar patrones y tendencias en los datos sin intervención humana. Darktrace utiliza algoritmos de aprendizaje automático no supervisado para analizar los datos en cuestión y realiza cálculos basados en probabilidades a partir de las pruebas visibles. El algoritmo clasifica los datos y detecta un patrón clave esencial para construir un modelo de comportamiento relativo a los contenedores en la nube, los dispositivos, los sensores y los usuarios. El algoritmo también identifica desviaciones, que pueden convertirse en una amenaza relevante y maliciosa en el futuro. Los métodos de aprendizaje automático pueden mejorar significativamente la detección de amenazas debido a su capacidad para utilizar una gran cantidad de análisis computacional [17].
Darktrace utiliza la probabilidad bayesiana como parte del aprendizaje automático no supervisado para descubrir relaciones previamente desconocidas, clasificar datos de forma independiente, detectar patrones clave y operar sin suposiciones previas. Darktrace no requiere conocimientos sobre ataques anteriores, sino que es capaz de aprender continuamente. Revisa constantemente los supuestos sobre el comportamiento utilizando matemáticas probabilísticas. El algoritmo de aprendizaje automático no supervisado de Darktrace puede detectar ciberataques, amenazas y vulnerabilidades hasta ahora no detectados, como phishing selectivo avanzado, ataques basados en la nube y SaaS, amenazas internas, vulnerabilidades latentes, ataques a velocidad de máquina, ataques furtivos y ataques de día cero [17].
Darktrace puede producir salidas marcadas con diferentes grados de amenazas potenciales, proporcionando una herramienta para clasificar las alertas y priorizarlas según la necesidad de acción inmediata. Darktrace también utiliza el aprendizaje automático no supervisado para reconocer agrupaciones significativas. Para recopilar información sobre las relaciones dentro de la red, se utilizan varios métodos de agrupación, como la agrupación basada en matrices, la agrupación basada en la densidad y los métodos de agrupación jerárquica. A continuación, los conglomerados se utilizan para modelizar los comportamientos normativos. Las posibles variables predictoras suponen un reto importante a la hora de modelar los comportamientos de una infraestructura que evoluciona dinámicamente. Por ejemplo, la observación del tráfico de paquetes y la actividad de los hosts en redes LAN o WAN, tanto de entrada como de salida, puede contener características interrelacionadas (protocolos, máquinas de origen y destino, cambios en los registros y activadores de reglas). Por lo tanto, es importante aprender una función predictiva estructurada dispersa y coherente. Darktrace se esfuerza por comprender la estructura dispersa en modelos de conectividad de red utilizando técnicas de regularización L1 (por ejemplo, el método Lasso) con el fin de encontrar verdaderas asociaciones entre diferentes elementos de una red [17].
Las sofisticadas tecnologías de aprendizaje profundo y automático proporcionan a Cyber AI Analyst la capacidad de cubrir las amenazas que son más vitales para la investigación, para hacer frente a los eventos de incidentes conectados y manejar el proceso de cómo debe gestionarse el ataque. Cyber AI Analyst comienza a analizar después de que Enterprise Immune System (o equivalente) detecta un comportamiento inusual. A continuación, Cyber AI Analyst actúa como un analista humano formulando preguntas para generar una hipótesis creíble sobre la naturaleza de la amenaza potencial y la causa última. A continuación, consulta los datos a través de la organización para confirmar, negar o refinar la hipótesis. El proceso se repite hasta que el analista de IA cibernética recibe la descripción de alto nivel de la naturaleza y la causa última del incidente de seguridad más amplio [15].
Cyber AI Analyst también utiliza el aprendizaje automático supervisado en una capacidad que imita la forma en que los profesionales humanos realizan el proceso de investigación de amenazas. Cyber AI Analyst no utiliza datos históricos de ataques, sino que aprende a partir del conjunto de datos de comportamientos de analistas humanos que se ha ido recopilando durante los últimos años. La IA supervisa el comportamiento de los expertos de Darktrace y cómo investigan las amenazas y clasifican las actividades amenazantes y sospechosas. A continuación, los resultados de la investigación pueden clasificarse mediante aprendizaje automático supervisado para determinar incidentes de interés y proporcionar detalles que los profesionales humanos podrían pasar por alto o no tendrían tiempo de identificar. La tecnología también clasifica y almacena los resultados de las investigaciones, presentando únicamente un pequeño número de incidentes prioritarios a la vez [15].
4.3.3. Darktrace Antigena
Darktrace Antigena Network es una tecnología de respuesta autónoma que utiliza inteligencia artificial cibernética de aprendizaje automático. Antigena Network interrumpe y neutraliza amenazas nuevas y no detectadas en servicios en la nube, redes corporativas e Internet de las Cosas (IoT). Las decisiones de Antigena Network no se basan en la coincidencia de patrones simplistas y la lógica estática de las herramientas de respuesta preprogramadas, sino que se basan en la comprensión y el conocimiento evolutivos del comportamiento normal y benigno. La inteligencia artificial de autoaprendizaje proporciona una respuesta categóricamente diferente utilizando cómo, cuándo y dónde neutralizar una amenaza emergente, lo que hace que la Respuesta Autónoma sea eficaz frente a una gran variedad de amenazas, también novedosas e inesperadas. La tecnología se amplía para defender organizaciones amplias y complejas sin necesidad de una cantidad considerable de trabajo e intervención humanos. Los principales casos de uso de la solución son el ransomware a velocidad de máquina, que contiene nuevas cepas de malware y ransomware antes de que puedan escalar, la amenaza interna y la funcionalidad de toma de control de cuentas, que previene a los internos maliciosos y la pérdida inesperada de datos, el compromiso de IoT, que evita que los ataques se propaguen o filtren datos críticos a través de dispositivos IoT, y el cumplimiento, que puede configurarse para responder a comportamientos y conexiones no conformes. Antigena puede contener de forma autónoma y precisa ataques en curso más rápido de lo que un analista humano es capaz de hacer [13].
Darktrace Antigena Email es una tecnología de autoaprendizaje, cuyo propósito es neutralizar las campañas de correo electrónico dirigidas y los ataques de suplantación de identidad que pueden evadir la puerta de enlace de correo electrónico. Antigena Email espera pasivamente los datos que se le transmiten. Antigena neutraliza los correos electrónicos que contienen enlaces asociados a amenazas detectadas y prevenidas por Antigena Network. Cuando Antigena Email recibe un mensaje de correo electrónico, extrae sus metadatos en bruto, los procesa varias veces y múltiples veces en el futuro a medida que se introducen nuevas pruebas. La solución examina el contenido y verifica si lo que se descubre ha sido previamente normal en el entorno de una organización [24]. Según Cambridge [7], Antigena Email de Darktrace es: «Un enfoque muy novedoso basado en el contexto que no se pregunta si un correo electrónico entrante es malicioso, sino, lo que es más importante, si pertenece a él, algo claramente valioso para las organizaciones».
Antigena Email utiliza inteligencia artificial para determinar si un mensaje de correo electrónico difiere de las interacciones normales entre un remitente, un destinatario y una organización más amplia, revelando indicios de nuevas amenazas. Antigena Email amenaza a los destinatarios como individuos y pares dinámicos cuando analiza el tráfico de correo electrónico entrante, saliente y lateral. Si el modelo de IA de Antigena Email detecta una amenaza entrante, la procesa y toma una decisión distintiva para cada correo electrónico con el fin de determinar el flujo de correo electrónico justificado que está habilitado y permitido. Antigena Email puede distinguir con precisión entre benigno y malicioso, y neutralizar eficazmente los correos maliciosos antes de que puedan tener impacto. La solución neutraliza, por ejemplo, ataques de spear phishing y suplantación de identidad en Exchange, Office 365, Gmail, Google Workspace, etc. [13].
Darktrace Antigena Email puede determinar, qué enlaces compartidos por las personas y dominios que visitan son raros en el contexto de una organización. Antigena Email puede detectar si un atacante envía múltiples correos electrónicos a varios destinatarios de la organización y estimar la probabilidad de que el grupo en cuestión pueda estar recibiendo un correo electrónico de la misma fuente. Una característica fascinante de Antigena Email es la capacidad de aprender cómo los diferentes remitentes construyen sus correos electrónicos mediante el análisis de metadatos ocultos de correo electrónico y patrones en el contenido del cuerpo. Además, Antigena Email utiliza inteligencia artificial en cada correo entrante para identificar cambios delicados que indiquen que el correo ha sido enviado probablemente por un posible adversario en lugar del titular legítimo de la cuenta [14].
Darktrace Antigena SaaS es una tecnología de respuesta autónoma y autoaprendizaje, capaz de neutralizar ataques impredecibles en la nube y herramientas de colaboración. La solución se utiliza junto a Antigena Email ampliando la protección del entorno Microsoft 365 de una organización. Antigena SaaS proporciona a las organizaciones el alcance de la tecnología para permitir la detección autónoma, la investigación y la respuesta a través de fuentes de datos adicionales y tipos de comportamiento a escala. La solución protege de ataques sutiles que pueden evadir las defensas tradicionales estáticas y en silos.
Antigena SaaS se puede utilizar para neutralizar el abuso de la administración y el robo de datos internos, interrumpir la toma de control de cuentas y los ataques de fuerza bruta o detener la pérdida, manipulación o destrucción accidental de datos. Darktrace Antigena SaaS cuenta con una interfaz de usuario (UI), que está diseñada para resaltar el comportamiento malicioso o de riesgo que se produce en la huella de la nube. La UI proporciona a los equipos de seguridad herramientas para visualizar y monitorizar los incidentes de seguridad y las acciones de Antigena SaaS en una ubicación centralizada [18].
4.4. Amazon Macie
Amazon Macie es un servicio de seguridad de la información lanzado en el verano de 2017 que utiliza capacidades de coincidencia de patrones de aprendizaje automático. La inteligencia artificial proporciona herramientas para que Macie encuentre, clasifique y proteja datos confidenciales en Amazon Web Services (AWS) [2]. El servicio automatizado proporciona un inventario de los buckets S3 del usuario final utilizando el aprendizaje automático y la coincidencia de patrones para alertar si el servicio detecta posibles problemas de seguridad. Un usuario final puede ver los resultados de Amazon Macie en la consola de administración de AWS y filtrar los resultados para examinar los detalles necesarios. El servicio es especialmente valioso para las organizaciones sujetas a normas y reglamentos, como el Reglamento General de Privacidad de Datos (GDPR) de la UE o la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de EE.UU. [35].
Amazon Macie también utiliza métodos de procesamiento del lenguaje natural (PLN) para ayudar a interpretar y clasificar diversos tipos de datos y contenidos. El PLN se basa en la utilización de principios de la lingüística computacional y la informática para estudiar las interacciones entre los ordenadores y el lenguaje humano. En resumen, cómo deben programarse los ordenadores para que puedan comprender y descifrar los datos lingüísticos. Amazon Macie ordena los hallazgos por orden de prioridad asignando automáticamente valores comerciales a los datos evaluados en forma de puntuación de riesgo. Este procedimiento permite a los usuarios finales centrarse primero en las alertas más críticas. El servicio también es capaz de monitorizar y descubrir los cambios de seguridad que rigen los datos en cuestión, y de identificar los datos centrados en la seguridad, por ejemplo, las claves de acceso almacenadas en un bucket S3 [43].
La supervisión protectora y proactiva de la seguridad proporciona a Amazon Macie herramientas para identificar datos críticos, sensibles y centrados en la seguridad, como claves API y claves secretas. Macie también ejecuta un motor específico para detectar fuentes comunes de datos de información personal identificable (PII) e información sanitaria protegida (PHI). El servicio aprovecha AWS CloudTrail y comprueba continuamente los eventos de CloudTrail en busca de solicitudes PUT en buckets S3 y clasifica automáticamente los nuevos objetos casi en tiempo real. Además, el servicio puede detectar alteraciones y cambios en las políticas de seguridad y las listas de control de acceso que afectan a los datos de los buckets de S3 de los usuarios finales. Macie también iniciará alertas cuando se detecte un comportamiento anómalo del usuario y mantendrá los requisitos de conformidad necesarios [56].
Macie reconoce datos sensibles, como información personal o derechos de autor. Además, puede controlar cómo se copia, mueve o visualiza material protegido por derechos de autor, como documentos. Macie dispone de un cuadro de mandos que ayuda a concluir cómo se han utilizado los datos o adónde se han trasladado. El servicio supervisa continuamente el uso de los datos y las anomalías y proporciona alertas detalladas si los datos son objeto de un uso no autorizado o de una fuga de datos involuntaria. Macie también puede detectar automáticamente el riesgo para los datos empresariales, si los datos se han distribuido fuera de la organización sin autorización o si se ha accedido a ellos de forma no intencionada [1].
Amazon Macie explora los datos y busca formatos de archivo con palabras clave, como archivos de Microsoft Word, Excel, .txt. Macie compara las extensiones de los formatos de archivo para evaluar los niveles de seguridad de los datos. Por ejemplo, Macie sitúa los archivos .pem en una categoría de mayor riesgo que los archivos .txt normales. Además, Macie examina información relacionada con archivos y objetos S3 al emitir la clasificación de seguridad. Macie también utiliza el servicio Amazon CloudTrail, que registra casi todas las solicitudes de API, y utiliza estos archivos de registro cuando explora las actividades de la API de S3 a nivel de objeto. También recopila datos sobre los usuarios y sus roles [47].
4.5. Deep Instinct (Instinto Profundo)
Deep Instinct ha sido una de las primeras empresas en aplicar el aprendizaje profundo integral a la ciberseguridad. Los desarrolladores de Deep Instinct utilizaron algoritmos de aprendizaje profundo en su implementación de la solución, lo que permitió identificar las estructuras utilizadas en el software malicioso. Deep Instinct puede detectar y prevenir la ejecución de software malicioso en todos los niveles de la organización [44]. La tecnología de redes neuronales se ha utilizado para contrarrestar ciberataques, como Spora, Wannacry, NotPetya y BadRabbit, sin la ayuda de un centro específico centrado en cuestiones de ciberseguridad, y antes de que el malware haya tenido ningún impacto en las soluciones informáticas del cliente. La tecnología de Deep Instinct trabaja codo con codo con los sistemas tradicionales ampliando la infraestructura y las inversiones existentes, por lo que los clientes no tienen que tomar ninguna medida compensatoria para sus operaciones [4].
La solución de Deep Instinct está diseñada para proteger el soporte multidispositivo de la organización para puntos finales, dispositivos móviles y servidores contra ataques maliciosos conocidos y desconocidos, e incluso los más sofisticados, en tiempo real y tiempo cero. El software se basa en la explotación del cerebro de la red neuronal artificial, que tiene la capacidad de identificar los ataques entrantes de forma preventiva con la mayor tasa de detecciones y un mínimo de falsos positivos. El propio cerebro es ligero y ocupa menos de 30 MB de memoria. La tecnología del cerebro RNA puede clasificar entre siete tipos de familias de malware, que son las siguientes: Backdoor, Dropper, Aplicaciones Potenciales No Deseadas (PUAs), Ransomware, Spyware, Virus y Gusanos. Utilizando algoritmos de aprendizaje profundo adecuados, el software puede anticipar ciberataques aún no reconocidos. La solución puede presentar resultados de clasificación, por ejemplo, para una muestra de malware que es principalmente un ransomware, pero también contiene características de un Spyware [19].
La ventaja de utilizar Deep Learning en el análisis de archivos y vectores antes de la ejecución es la protección en tiempo cero, lo que significa que Deep Instinct puede analizar el archivo/proceso en menos de 20 milisegundos evitando que se ejecuten elementos maliciosos. Además, la reputación instantánea de archivos, las listas negras y el control dinámico de secuencias de comandos pueden utilizarse para mitigar el número de falsos positivos y mejorar los resultados de todo el equipo de seguridad. La protección en tiempo cero se implementa en Deep Instinct mediante la capa Run-Time Detect and Defend, que utiliza el análisis dinámico del comportamiento para descubrir rápidamente comportamientos sospechosos. Deep Instinct utiliza anti-ransomware nativo, inyección remota de código, shellcodes conocidos y ejecución de comandos o scripts PowerShell para proporcionar una solución capaz de detectar y prevenir ataques avanzados antes de su ejecución [20].
Deep Instinct cuenta con una funcionalidad de capa de revisión y remediación a tiempo, que proporciona visibilidad sobre los adversarios que amenazan a la organización en cuestión. Los equipos de información de seguridad reciben la información que necesitan mediante la clasificación automática de amenazas y el análisis avanzado de amenazas para poder comprender cómo se ha producido un ataque y qué tipo de esfuerzos han realizado los adversarios. Deep Instinct combina funciones de seguridad, por ejemplo, en Microsoft Windows y deja que el paquete antivirus existente se encargue de otras tareas, como cortafuegos personales y cifrado. Deep Instinct no exige actualizaciones periódicas ni un modelo de formación adicional, pero como parte del despliegue inicial, se llevará a cabo un análisis exhaustivo del activo. El análisis estático de Deep Instinct explora los cambios realizados en los archivos por un usuario y determina si el archivo es malicioso y, por tanto, debe bloquearse y enviarse a cuarentena. Si un archivo malicioso supera la fase de análisis estático, se utiliza la capacidad de análisis de comportamiento para erradicar la actividad comúnmente asociada con intenciones maliciosas y se finaliza el proceso [20].
En 2016, la Universidad de Gotinga llevó a cabo una prueba de identificación de software malicioso, en la que se exploraron hasta 16.000 muestras de software malicioso recopiladas por Siemens CERT, Bit-Defender, McAfee, AVG, Kaspersky y Sophos, entre otros». Las empresas mencionadas disponen de su propio software antivirus, que puede alcanzar hasta un 61% de tasa media de detección de software malicioso, frente al 98,86% de tasa media de detección de Deep Instinct. Algunas de las muestras de software malicioso ya habían mutado, pero de una forma que no afectaba permanentemente al comportamiento de dicho software malicioso. Deep Instinct pudo identificar hasta el 99,7% de los archivos PDF dañinos y el 99,2% de los archivos ejecutables dañinos». La aplicación de Deep Instinct se enseñó con 8.000 muestras maliciosas». [44]
Un proveedor de software y hardware estadounidense que opera en más de 50 países, buscaba una solución de protección novedosa para aumentar la protección existente de Symantec Endpoint. En el estudio de caso, la empresa cliente invirtió mucho en rendimiento, supervisión y capacidades administrativas relativas a la solución. DeepInstinct fue la última empresa de las seis evaluadas como opción para ofrecer una mejor protección y satisfacer los crecientes requisitos de seguridad de los puntos finales para contrarrestar, por ejemplo, el malware desconocido y las amenazas APT. Los resultados de la evaluación indicaron que la solución de seguridad de DeepInstinct alcanzó una tasa de detección y prevención superior al 99%. Además, la huella del agente de DeepInstinct era relativamente pequeña [21].
Los resultados del estudio de caso también indicaron que, incluso cuando la protección se había implantado mediante una solución de nueva generación para puntos finales, más del 10% de los dispositivos seguían estando infectados. En la primera semana de despliegue, se detectaron hasta 12 puntos finales infectados con campañas maliciosas, como mineros de monedas, gusanos, spyware y otros PUA. Después de la implementación en hasta 1500 endpoints, se descubrió que 147 dispositivos estaban infectados, lo que corresponde al 10% de los dispositivos protegidos por Symantec Endpoint. En total, se encontraron 462 campañas maliciosas, incluidas PUA y herramientas de doble uso, y un total de 140 campañas maliciosas puras, que incluyen el ransomware latente WannaCry, varias familias de spyware y ladrones de información, como Nymaim, Loki, Fareit y Agent Tesla, troyanos bancarios (Emotet) y otros gusanos y virus. Las campañas maliciosas también incluían troyanos y otras herramientas de hacking, como herramientas para escanear y mapear la red [21].
4.6. SparkCognition DeepArmor (Chispa de Conocimiento ArmaduraProfunda)
SparkCognition DeepArmor puede detectar y prevenir la amenaza de programas maliciosos, virus, gusanos, troyanos y ransomware, utilizando métodos matemáticos como el aprendizaje automático y el procesamiento del lenguaje natural. La arquitectura de DeepArmor consta de un pequeño agente de endpoint integrado en un motor cognitivo basado en la nube, así como de una plataforma de exploración de amenazas. El agente de punto final de bajo perfil identifica y previene programas maliciosos y otras amenazas más avanzadas, independientemente de las firmas. El agente está diseñado para proteger los dispositivos cliente, servidor, móvil e IoT, y para proteger la seguridad integrada de la información de una organización. Un agente también puede configurarse para operar de forma autónoma en modo headless sin interfaz de usuario, proporcionando una solución de seguridad para dispositivos IoT [45].
El motor cognitivo basado en la nube de la solución DeepArmor utiliza un proceso de filtrado multicapa para identificar amenazas. La primera capa de protección realiza un análisis de archivos, así como un control de aplicaciones y riesgos para identificar rápidamente archivos maliciosos o anómalos conocidos. DeepArmor es capaz de aplicar el aprendizaje automático a la detección previa a la ejecución de documentos maliciosos como PDF, Office heredado (por ejemplo, .doc, .xls) y Office moderno (por ejemplo, .docx, .xlsx) sin utilizar firmas, heurística ni funciones de control rudimentarias. Tras filtrar los archivos detectados, DeepArmor utiliza algoritmos cognitivos para analizar los archivos desconocidos y forma puntuaciones de amenaza para cada archivo. En el siguiente paso y tras identificar la amenaza, la consola de gestión basada en la nube proporciona una herramienta de procesamiento del lenguaje natural (NLP). Deep NLP no sólo busca pruebas en Internet, sino que también comprende el contexto en torno a las amenazas. DeepArmor puede distinguir con precisión lo que es dañino basándose en casos anómalos [45].
La tecnología Deep NLP de SparkCognition funciona de forma que miles de páginas de información relevante relativa a diversas amenazas se toman como entrada base para la tecnología Deep NLP de SparkCognition. Estos datos también se utilizan para contextualizar las propias amenazas. La tecnología NLP también explora Internet en busca de posibles pruebas de amenazas, a partir de las cuales se elaborará un resumen probatorio. También se calculará una puntuación de evaluación de riesgos basada en los riesgos conocidos. Por último, a partir de la información generada se puede producir un resumen de análisis de amenazas que puede utilizarse para elaborar estrategias políticas y abordar los problemas más relevantes [45].
DeepArmor también tiene capacidad de gestión autónoma de alertas en su consola de gestión basada en la nube, lo que mitiga la carga de trabajo del analista de seguridad al iniciar de forma autónoma acciones relativas a las alertas y, además, disminuye los falsos positivos. De este modo, los equipos de operaciones de seguridad pueden tomar decisiones más informadas basándose en la información del sistema en el momento del evento y en los puntos de datos clave extraídos durante el análisis estático de archivos [8]. DeepArmor sigue mejorando sus funciones y las últimas características técnicas para Windows son el cortafuegos personal y la protección contra exploits. El cortafuegos personal impide que los hackers y el malware amenacen los ordenadores de los usuarios finales mediante el seguimiento de las conexiones realizadas por las aplicaciones y, además, proporciona un control avanzado de la actividad de la red. La protección contra exploits protege el dispositivo de la explotación utilizando un conjunto de funciones de protección contra intrusiones en el host [46].
