Los ataques cibernéticos a las redes corporativas aumentaron un 50 % en 2021 , y se espera que en 2022 haya más de lo mismo. Elastic Endpoint Security incluye una variedad de capas de protección para garantizar la máxima cobertura contra diferentes tipos de malware. Ha habido algunos ejemplos recientemente de la necesidad de actualizaciones rápidas y precisas de los entornos de los usuarios para protegerse contra el malware más reciente. Aquí en Elastic, hemos estado mejorando los procesos que nos permiten realizar actualizaciones rápidamente en respuesta a nueva información y propagar esas protecciones a nuestros usuarios. 

Como parte de la solución de seguridad, se utiliza un modelo de aprendizaje automático para ayudarnos a detectar malware en función de características conocidas. Dado que el aprendizaje automático nunca es perfecto, se implemento artefactos complementarios, incluidas listas de hash de archivos conocidos que van desde maliciosos hasta benignos. Hay dos escenarios en los que podríamos necesitar actualizar estas listas, que se trata aquí. Con estos, los equipos pueden experimentar una respuesta mucho más rápida al malware.

[Artículo relacionado: Sandboxing de productos antimalware por diversión y beneficio ]

Escenario 1: El modelo no es perfecto 

Esto sucede con muy poca frecuencia, ya que el modelo tiene tasas de verdaderos negativos del 99,8 %. Pero ningún modelo es perfecto, y las tasas de verdaderos positivos varían desde el 99 % (lo que es excelente) hasta el 97,9 %, debido al ruido de los datos, en particular, grandes ráfagas de casi duplicados. Al aplicar el aprendizaje automático a la ciberseguridad, la deriva de datos es un desafío siempre presente y parte de lo que lo convierte en un problema tan interesante. 

Hay un par de formas en las que podemos averiguar si nuestro modelo está haciendo algo incorrecto: 

1) Comentarios de los usuarios.

Un usuario nos envía un correo electrónico diciéndonos que un software personalizado se marca como malware, pero en realidad es seguro. 

2) Datos de telemetría provenientes de nuestro modelo que se ejecuta en las máquinas de los clientes.

Observamos el volumen y la velocidad de las alertas, utilizando la función de detección de anomalías de Elastic para informarnos si hay un pico repentino de un archivo en particular. También usamos patrones para ayudarnos a confirmar si una alerta proviene de una sola máquina ruidosa, un grupo de prueba o una amenaza legítima.

La ventaja de usar listas como respaldo para el aprendizaje automático es que es una manera rápida y fácil de asegurarse de que nuestros clientes estén protegidos contra el nuevo malware, así como de ruidos innecesarios de falsos positivos. 

Escenario 2: Aparecen nuevas formas de malware

Por lo general, Elastic se entera de nuevos tipos de malware a través de recursos comunitarios o noticias de seguridad, o del propio equipo de análisis e inteligencia de seguridad que identifica nuevos tipos de malware. 

Cuando esto sucede, se puede implementar fácilmente pequeños cambios en las listas. Y se actualiza el modelo por separado, porque lleva más tiempo.

Se ha estado agregando constantemente más automatización para que este proceso de implementación de listas actualizadas para los clientes sea más fluido y rápido, con el objetivo de facilitar que cualquier miembro del equipo cree e implemente una actualización. También se ha estado trabajando para que el proceso de actualización del modelo sea más fácil y rápido. 

Amenazas aún descubiertas…

El equipo de Elastic Security Intelligence and Analytics continúa investigando y respondiendo a amenazas innovadoras en su misión de ayudar a los clientes de Elastic y a la comunidad de seguridad en general. Si ya usa Elastic Security , puede esperar ver los últimos hallazgos en el suministro de noticias dentro de la plataforma. También se publicara los últimos hallazgos en elastic.co/blog .  

¿Listo para formar parte de la comunidad de Elastic Security y aprovechar la investigación de amenazas líder del equipo? Comience con una prueba gratuita de 14 días de Elastic Cloud o descargue la versión autoadministrada de Elastic Stack de forma gratuita.