Según Virus Bulletin (EN), el mejor antivirus comercial puede detectar alrededor del 87% de todas las amenazas.
Un 87% significa que hay todavía un 13% de malware que quedaría fuera del ámbito de protección del mejor antivirus. Y casualmente ese 13% corresponde principalmente a casi todo el malware que está en un momento dado en campaña de difusión. Que está vivo, para que nos entendamos.
Nuevas cepas de productos que han sido ligeramente modificados para ofuscar su funcionamiento, y que representan en esencia el mayor de los riesgos a los que está expuesto un sistema informático.
De hecho, es un tema que trataba recientemente: Los antivirus (y en líneas generales, todas las herramientas SIEM) son ineficaces frente a nuevos malwares, por la sencilla razón de que éstos servicios se basan en firmas, y las firmas son generadas a posteriori (primero tienen que localizar un malware para luego ficharlo y enviarlo como actualización a los usuarios).
Para minimizar este problema, la industria del antivirus lleva tiempo trabajando con algoritmos de heurística, que permiten a la herramienta localizar algunas nuevas cepas siempre y cuando bien sea en su ejecución o en la forma en la que operan, puedan parecerse a cepas ya firmadas.
Es un buen principio. Una suerte de pre-inteligencia que en su día fue crítica para posicionar los antivirus como la mejor herramienta de seguridad.
Pero hoy en día se juntan dos elementos que han complicado aún más las cosas.
La industria del malware evoluciona
Acogiéndose a la evolución que ha sufrido la industria del software. Modularidad, liquidez e inteligencia, que permite a los malos desarrollar nuevas armas en ciclos de producción muchísimo más rápidos, y automatizar hasta cierto punto la ofuscación de estas nuevas armas.
Es un escenario que bebe directamente de la industrialización del cibercrimen. Donde antes había pequeños grupos inconexos de desarrolladores, con sus propias metas y objetivos, ahora hay auténticas corporaciones, convenientemente descentralizadas, que comparten expertise y herramientas, generando a diario nuevas familias de malware.
Bajo este paradigma, las redes neuronales artificiales se posicionan como una posible vía para mejorar ese porcentaje de fallo con el que cuentan las herramientas SIEM, al ser estas capaces de anteponerse a situaciones a priori desconocidas.
Las redes neuronales en productos de ciberseguridad
Así, llegaba hace unas horas a la página de la start-up israelí Deep Instinct (EN), que están desarrollando una herramienta de seguridad basada en redes neuronales.
Estas redes se basan en el principio del aprendizaje profundo. Una metodología de solución de problemas que permite a un sistema ir “aprendiendo” a encontrar su propia solución a un problema dado, pese a que la respuesta no sea conocida.
Para ello, este tipo de software se entrena con datos de muestra para reconocer patrones abstractos y complejos, que les permitan el día de mañana dilucidar si está ante un escenario de riesgo o no.
Se trata de un planteamiento distinto al habitual de las firmas de antivirus. Aquí la respuesta no viene dada de antemano, sino que el positivo acaba llegando cuando la herramienta es capaz de entender que ese programa está realizando acciones que podríamos considerar maliciosas, basándose en los millones de casos anteriormente analizados (y convenientemente categorizados).
A fin de cuentas, hablamos de un planteamiento que no difiere mucho de la forma que tenemos los humanos de pensar, y que encuentra su principal hándicap en el ámbito informático no en la capacidad de procesamiento (que creo que queda claro que es mayor que la nuestra), sino en la capacidad de abstracción que somos capaces de implantar para que el sistema “entienda” los 1s y 0s, que al final es lo que le va a llegar.
Para ello, estos sistemas se entrenan con miles de parámetros distintos provenientes de un entorno cuanto más diverso mejor (diferentes bases de datos, diferentes archivos), con el fin de generar una base de información lo suficientemente amplia y real (romper el efecto laboratorio).
Deep Instinct no es la primera compañía que estudia los beneficios del aprendizaje profundo en entornos de seguridad. De hecho, muchos de los sistemas anti-spam usados en los servicios de email (como GMail u Outlook) ya implementan elementos semejantes. Buceando por internet, me he encontrado con una investigación de Invicea (EN), en la que aseguran que su sistema fue capaz de detectar nuevo malware con una fiabilidad del 95% y una tasa de error del 0,01%.
Son palabras de los propios investigadores (y por tanto, podrían estar sesgadas…). Pero las cifras son esperanzadoras, ¿no cree?
De hecho, el aprendizaje profundo está cada vez más presente en los end points comerciales, como comentábamos hace unos meses. Conforme la tecnología se vuelve más invisible e inmediata (asistentes virtuales, interfaces que se adaptan a nuestras necesidades, servicios inteligentes,…), queda palpable la necesidad de generar una suerte de inteligencia que la permita ser útil sin llegar a ser molesta. Y quizás el aprendizaje profundo sea una de las mejores vías que tenemos.
Volviendo al ámbito de la seguridad, y en vista de las particularidades de este sector, quizás estemos ante la mejor arma que tenemos para la prevención de los ataques informáticos.
Una manera de volver más robustos esas piezas de software que están disponibles ya en nuestros dispositivos, y que con el tiempo han ido perdiendo fuelle en su objetivo principal a cambio de abrirse a otras necesidades aún no cubiertas (como la protección anti-phishing).
Todo ello sin olvidar que seguimos empeñados en evitar el ataque, y no en generar un escenario con la menor incertidumbre posible una vez ese ataque ha sido realizado con éxito. Porque el miembro más débil de la cadena no es la máquina, sino el humano que la maneja.
Contra eso ningún antivirus nos protege, y habitualmente, no tenemos herramientas (ni conocimiento) para paliarlo.
Ahí es donde las herramientas Pos-SIEM, que beben directamente de la inteligencia informática, entran en juego.
En fin, que hay camino aún por recorrer. Pero si con ello le ponemos las cosas más difíciles a los cibercriminales, si con ello segurizamos y privatizamos con mayor acierto las comunicaciones, y para colmo no supone una pérdida de comodidad para los usuarios (estos sistemas operan a expensas de nuestros actos y no al revés), bienvenido sea.
Fiabilidad¿? una palabra aun con un significado distinto para las empresas… los antivirus hasta el moemnto algunos optan por ser fiables y eficientes para algunos. Al final no se sabe si realmente trabajan como deberian de ser o si en el caso de los crack para office que se ha leido que microsoft ha pagado para que algunos antivirus lo detecten como virus y las personas que no conocen mucho en teoria sobre estos terminos terminen eliminándolos…
Bueno, y siempre ha estado ahí las posibles herramientas de las agencias de espionaje, que los antivirus supuestamente no localizaban. Aquí es lo de siempre… Posiblemente haya algunas brechas incluidas en sus herramientas por intereses comerciales. Al final donde hay dinero, hay poder.
Sin duda las herramientas de seguridad necesitan un nuevo enfoque que les permita recuperar los niveles de efectividad perdidos. Todo este nuevo escenario que presentas parece ni más ni menos que pura inteligencia artificial. Saludos Pablo.