Sophos anunció el lanzamiento de cuatro nuevos desarrollos de código abierto en inteligencia artificial (IA), que ayudarán a ampliar las capacidades de los sistemas de seguridad de la industria contra los ataques cibernéticos.
Los desarrollos incluyen nuevos conjuntos de datos, herramientas y metodologías diseñadas para promover la colaboración entre empresas y la innovación en seguridad.
Estos lanzamientos aceleran uno de los objetivos clave de Sophos: abrir sus avances en la ciencia de datos y hacer que el uso de IA en la ciberseguridad sea más transparente, con el fin de proteger mejor a las organizaciones contra todas las amenazas existentes.
Si bien en otras industrias es común compartir metodologías y hallazgos de IA, la ciberseguridad se ha quedado rezagada en este esfuerzo, lo que ha resultado en poca claridad sobre cómo esta tecnología ayuda a brindar protección contra ciberamenazas.
Sophos y su equipo de científicos de datos de SophosAI están iniciando un cambio hacia la apertura en inteligencia artificial, de modo que los gerentes de TI, analistas de seguridad, directores financieros y demás personal dentro de las compañías tomen decisiones basadas en datos e información de valor.
“Con esta nueva iniciativa de SophosAI de abrir su investigación, podemos ayudar a influir en cómo se posiciona y se discute el uso de la inteligencia Artificial en la ciberseguridad hacia el futuro. Las actuales afirmaciones opacas y cautelosas sobre las capacidades y la eficacia de esta tecnología en las soluciones de seguridad hacen que sea difícil o casi imposible para las empresas comprender su uso al proteger los sistemas de sus organizaciones. Esto lleva al escepticismo de los encargados de TI, creando un escenario a contracorriente para el progreso de esta tecnología en el sector de ciberseguridad, pese a que existen grandes avances”, indicó Joe Levy, director de Tecnología de Sophos.
“Corregir esto a través de mecanismos y estándares ya establecidos no sucederá lo suficientemente rápido. Por el contrario, se requiere de un esfuerzo dentro de la industria de generar un conjunto de nuevas prácticas que generarán un avance, las cuales deben ser abiertas y transparentes para todos”, añadió.
No es una exageración decir que este cambio resulta muy relevante en cuanto al beneficio que puede generar a la ciberseguridad, dado el inmenso potencial de la inteligencia artificial como tecnología.
Las evidencias de Sophos muestran que los equipos de seguridad enfrentan adversarios cada vez más sofisticados, quienes lanzan campañas de falsificación tipo Business Email Compromise (BCE) cada vez más agresivas y altamente desarrolladas, así como generando nuevos ataques de propagación de ransomware.
Las defensas ante ese tipo de ciberataques deben ser más escalables y efectivas, por lo que requieren de IA, cuya apertura entre quienes la aplican para abordar estas amenazas estimula la innovación y los descubrimientos sobre el uso de esta tecnología en materia de seguridad, lo que impulsa a toda la industria.
Las herramientas y metodologías lanzadas por Sophos en este rubro son:
• SOREL-20M para acelerar la investigación de detección de malware
SOREL-20M es un proyecto conjunto entre SophosAI y ReversingLabs que consiste en datos a escala de producción con etiquetas y características para 20 millones de archivos en formato Windows Portable Executable (PE).
Incluye 10 millones de muestras de malware deshabitado, disponibles para su descarga, con el fin de investigar y acelerar las mejoras de seguridad en toda la industria. Este es el primer conjunto de datos de investigación de malware a escala de producción disponible para el público en general, con un etiquetado de muestras y metadatos muy relevantes para la seguridad.
• Método de protección contra la suplantación de identidad impulsado por IA
La protección contra suplantación de identidad de SophosAI está diseñada contra ataques de phishing, en los que se suplanta la identidad de personas y/o empresas para engañar a los destinatarios y hacer que sigan algunos pasos en beneficio del atacante.
Esta nueva protección compara las direcciones y nombres que utilizan quienes envían estos correos electrónicos con los títulos de ejecutivos de alto nivel de las empresas, que son los que tienen más probabilidades de ser falsificados en un ataque, tales como un CEO, CFO o presidente.
Con ese análisis, la tecnología ‘marca’ los correos que parecen sospechosos y alerta a los colaboradores al respecto. Sophos cuenta con una muestra de millones de correos electrónicos de ataque y ha abierto este método de protección, que ha sido debatido en Defcon 28 y en un artículo de Arxiv.
• Epidemiología digital para encontrar malware
SophosAI también ha creado un conjunto de modelos estadísticos inspirados en la epidemiología para estimar la prevalencia de infecciones de malware, lo que permite a Sophos estimar y, a su vez, tener una mejor oportunidad de encontrar las amenazas que se ocultan como ‘agujas en pajar’ en forma de archivos (PE).
Como pionera, SophosAI ha puesto a disposición del público este método que ayuda a detectar malware que puede pasar por alto o ser clasificado incorrectamente como archivos legítimos, además de «malware futuro» que los atacantes están desarrollando. El modelo está diseñado para ser extensible a otras clases de archivos y artefactos del sistema de información.
• YaraML: herramientas de generación automática de firmas
La generación de firmas para la detección de familias de malware es un proceso manual y laborioso. A lo largo de los años, los investigadores han propuesto una variedad de métodos automáticos de generación de firmas, la mayoría de los cuales no han tenido la adopción adecuada porque tienen un rendimiento inferior a los métodos manuales.
SophosAI ha desarrollado un nuevo proceso llamado YaraML, que es significativamente diferente a las opciones anteriores al adoptar un enfoque del problema basado en IA.
Este método utiliza modelos de aprendizaje automático de capacidad industrial, como los utilizados en productos de seguridad comercial, en lenguajes de firmas, lo que permite que la IA las «escriba». Esto demuestra ser mucho más efectivo que los enfoques anteriores y representa un gran avance para la comunidad de ciberseguridad. SophosAI tiene el método YaraML en código abierto.
Estos cuatro avances son los más recientes de SophosAI, que funciona como una incubadora de empresas emergentes, pero con los recursos de una empresa global de casi mil millones de dólares, incluidos SophosLabs, Sophos Managed Threat Response y cientos de miles de clientes.
Otra ventaja es que puede agregar nueva tecnología directamente a los productos de la firma. Este modelo permite a Sophos reaccionar rápidamente a las necesidades del mercado, predecir hacia dónde debe dirigirse la industria y promover la apertura para una mayor colaboración e innovación en el sector de la ciberseguridad, lo cual es esencial para desarrollar defensas contra adversarios que evolucionan rápidamente.