Noviembre 15, 2012
Encontrar una aguja en un pajar. Presentamos: Astraea
En algún lugar de nuestra oficina, hay un gran libro negro, cuidadosamente guardado, el cual contiene todos los datos actualizados de Kaspersky Lab usados en actos públicos: número de empleados, oficinas, beneficios… etc. La gran mayoría de los datos más utilizados son los números diarios de nuevos programas maliciosos, es decir, malware. La popularidad de esta cifra se debe a su increíble crecimiento. De hecho, este dato me sorprende hasta a mí. Hace un año, había 70.000 muestras de malware… ¡al día! En mayo del 2012 había 125.000 y hoy (¡por todos los cielos!) 200.000 diarias. No os tomo el pelo; cada día detectamos, analizamos y protegemos contra esa cantidad de programas maliciosos.
¿Cómo lo hacemos?
Todo se debe al buen trabajo de nuestros expertos y la tecnología desarrollada –podemos rellenar todo un gran libro negro con las entradas de nuestro blog sobre este tema (ej. Ver etiqueta tecnología). Al promocionar nuestra tecnología, os preguntaréis si no tememos que los cibercriminales lean nuestros posts. Aunque nos preocupa, lo más importante para nosotros es que los usuarios comprendan, lo mejor posible, cómo los protegemos, qué motiva a los cibercanallas y qué trucos usan para sus estafas cibernéticas.
De todos modos, hoy añadimos un anexo muy importante a este tomo tecnológico, la tecnología Astraea. Es uno de los elementos clave de nuestro sistema en la nube KSN (vídeo, detalles), el cual analiza automáticamente las notificaciones de los equipos protegidos y ayuda a descubrir las amenazas desconocidas hasta la fecha. De hecho, muchas son las ventajas de Astraea –sin las cuales nuestros analistas de seguridad no podrían imaginar su día de trabajo. Continuando con mi tradición de escribir posts tecnológicos, os voy a mostrar el tema paso a paso.
Empecemos con la estadística clave, procedente de BBB: 60 millones. Éste es el número de individuos que usan, hoy en día, KSN. Cuando digo usan, me refiero al intercambio constante de información de la nube sobre archivos sospechosos, sites, eventos del sistema, descubrimientos y demás. Todo bajo el título de “Ambiente epidemiológico en Internet”.
Analizar el gran flujo KSN de forma manual, en el tiempo requerido, es, como os imaginaréis, prácticamente imposible. Es como encontrar una aguja en un pajar. No obstante, esa aguja (de gran valor) está ahí dentro (o ¿fuera?). Buscarla merece la pena. Resolver esta tarea es, básicamente, una cuestión de excelencia en ingeniería de software.
Resulta que, con el enfoque adecuado para procesar dicho flujo, es posible matar tres pájaros de un tiro: (i) con el mínimo esfuerzo, detectar rápida y efectivamente el malware; (ii) construir una importante base de estadísticas para mantener el pulso al malware y seguir el ritmo de las tendencias en creación de virus; (iii) crear una sistema de desarrollo automático y experto para lanzar “tratamientos”, manteniendo los falsos positivos al mínimo.
¡Aquí lo tenéis! Ahora ya conocéis los principios básicos de Astraea – un sistema de procesamiento de grandes volúmenes de datos a través del cual extraer los resultados específicos que necesitemos, es decir, big data o encontrar automáticamente la aguja en el pajar.
Y ahora –para remataros del todo- tengo más cifras para vosotros: más de 150 millones de notificaciones KSN pasan por Astraea todos los días. De estos, se clasifican diez millones de objetos (archivos y websites).
¿Cómo funciona?
En la primera fase, cogiendo una gran hoja del libro de crowdsourcing, Astraea recibe notificaciones sobre archivos y sites sospechosos procedentes de los participantes en KSN. Todos los eventos se analizan automáticamente y se clasifican desde el punto de vista de su relevancia (frecuencia y popularidad de los objetos) y su peligro. El nivel de peligro se calcula según los pesos de cambio dinámico, esto significa que siempre hay feedback entre las notificaciones y el sistema experto. La lista de pesos posee cientos de criterios, los cuales ajustan y reajustan nuestros analistas, actualizando la lista. La lista representa una gran cadena de conocimiento de analistas de seguridad cualificados –una serie de leyes bajo las cuales podemos descubrir el malware.
En la última fase, Astraea devuelve sus cálculos de clasificación a KSN, accesibles a todos los usuarios de nuestros productos y cerrándose, así, la cadena. Además, cuanto más grande es la base de estadísticas, más probable es descubrir y eliminar nuevos focos de malware.
Gracias a las estadísticas sobre el comportamiento del malware en los equipos de los usuarios, Astraea conoce las funcionalidades del malware: la falta de firmas digitales, el autolaunch, el uso de determinados packers…etc. Cuando Astraea comienza a recibir notificaciones indicando nuevos archivos con malware, rebaja la clasificación de “garantía” a esos archivos, entre todos los almacenados. Como resultado, cuando la clasificación de un archivo alcanza un “límite crítico”, el sistema lo marca como malicioso, crea las firmas necesarias y las transfiere a los usuarios vía KSN. ¡Todo de forma automática!
De forma análoga, el sistema realiza búsquedas preventivas de sites maliciosos. Detecta recursos similares a hosts maliciosos ya conocidos y páginas falsas. En este caso, también existen muchísimos criterios: la coincidencia de direcciones de correo electrónicos o el nombre del propietario, la fecha de registro del recurso, la presencia de archivos poco fiables en el host…etc.
Lo importante es que el sistema no sólo calcula ratings de archivos o sites; establece correlaciones entre ellos para obtener veredictos más exactos. Así, es lógico asumir que un archivo descargado de una página, la cual ya ha sido notificada como distribuidor de malware, recibe una clasificación más baja que un archivo que se ha descargado de una página “limpia”.
Sobra decir que Astraea guarda toda la historia de interacción con KSN, lo que nos ayuda a reaccionar inmediatamente cuando aparece un foco de virus, localizando su fuente primaria y monitorizando su desarrollo – en el espacio y tiempo (según el país). Además, esos datos se pueden usar para (i) crearinformes específicos y analizar tendencias, prácticamente a cualquier nivel de personalización –diferentes “números 1” por país, hosts, archivo, familia de malware… etc. (También informes cruzados); (ii) pronosticar el desarrollo de actividades cibercriminales en los perfiles de atacantes de diferentes sectores; (iii) pronosticar el tiempo de crecimiento de programas maliciosos específicos con respecto a su comportamiento y el perfil de plataforma de ataque.
¡Aún hay más!
Astraea, a su vez, es un sistema proactivo de detección. No sólo detecta las amenazas ya conocidas, sino que, también, las amenazas ya planeadas en las mentes creadoras de virus. Al poseer una gran base de datos del comportamiento del malware en el mundo real, podemos desarrollar plantillas de comportamiento y añadirlas a KSN. Actualmente, el tiempo de reacción ante nuevas amenazas es de 40 segundos. Pero con este enfoque proactivo será igual a 0.
Otra ventaja de Astraea es la minimización de falsos positivos.
Por un lado, el sistema trabaja con una gran base estadística y un modelo matemático ajustado. Ambos permiten rebajar al mínimo la cantidad de detecciones falsas. Desde el año 2012, cuando Astraea reforzó sus filas para la batalla, nuestros especialistas no recuerdan un incidente más o menos significativo.
Además, se ha integrado en el sistema un mecanismo para controlar el factor humano. Éste comprueba automáticamente cada vez que un analista de seguridad intenta añadir una nueva entrada en la lista negra o blanca.
Un par de ejemplos:
Un archivo ABC está en la lista de archivos limpios (lista blanca). De repente, Astraea recibe una notificación de que nuestro producto ha encontrado un troyano en él. El sistema encuentra una firma falsa, la marca como falso positivo e inicia el proceso de testing y corrección del descubrimiento.
Otro caso: un analista de seguridad, llevado por la pasión (o la resaca) añade el archivo XYZ a la lista negra. Sin embargo, el archivo ya está en la lista blanca. El sistema le dice al analista que probablemente haya trabajado (o bebido) mucho la noche anterior y no le permite añadir la nueva entrada hasta que se solucione el conflicto. De hecho, Astraea, en líneas generales, es un sistema en constante expansión (existen muchos ejemplos de ello).
Con Astraea lo que hacemos es “excavar” a lo ancho y largo. Modernizamos nuestro modelo matemático de análisis de datos, añadimos nuevos y reevaluados criterios, incluimos nuevas tecnologías para aumentar la velocidad y calidad de la detección de amenazas y usamos sistemas operativos adyacentes para construir correlaciones complejas. En general, nuestros planes, como siempre, son ambiciosos y de largo alcance (pero no hay nada malo en ello). Desde que estamos en la cima de los trolls de patentes, hemos patentado regularmente estos bocados tan deliciosos. Además de esto, hemos minimizado los falsos positivos, avisado de focos de virus y detectado amenazadas desconocidas.