Análisis de Big Data con Astraea

La tecnología Astraea constituye el "cibercerebro en la nube" clave de Kaspersky Security Network (KSN), otro elemento de la protección de varios niveles de nueva generación de Kaspersky. El sistema agrega todas las estadísticas recopiladas y la información meta sobre actividades y amenazas sospechosas en todo el mundo en tiempo real, y produce decisiones de detección con respecto a objetos maliciosos. Posteriormente, esta información estará disponible inmediatamente para todos los usuarios a través de Kaspersky Security Network.

Cada día más de 80 millones de usuarios se benefician del uso del servicio en la nube de KSN. Los productos de Kaspersky solicitan y reciben información sobre la reputación de objetos solicitados y participan en el intercambio de estadísticas con información meta sobre objetos sospechosos. Esto da como resultado una transmisión de cientos de millones de notificaciones y cientos de gigabytes diarios.

Todos estos datos se reenvían a un sistema experto de filtrado y detección denominado Astraea. El sistema verifica la coherencia de los datos entrantes para evitar cualquier intento hipotético incluso de manipulación de datos. A continuación, los datos se acumulan en una base de datos de gran tamaño de objetos como archivos, URL, etc., con la información meta correspondiente y los enlaces entre ellos.

Por ejemplo, un producto podría enviar información sobre un objeto sospechoso, como por ejemplo:

• Objeto 0xc9e13b88​a6f74509​6f7cf4b2​32aad4d4​1054b32d​464c5bed​95aa7de2​16bc22a0
• el nombre del objeto es "revised invoice list.docx.exe"
• el objeto se encuentra en el archivo “revised invoice and packing list.docx.zip”
• el objeto se inició desde la ruta de archivos c:\windows\temp
• el objeto no está firmado
• etc.

Después de agregar la información entrante, es posible generar conocimientos como:

• Cuando un archivo en particular se conoce en el mundo
• Lista completa de direcciones URL desde las que se descargó el archivo o a las que se solicitó
• Lista completa de rutas donde se almacenó alguna vez en disco
• Lista completa de detecciones contra el archivo, si ocurrieron
• Lista completa de los procesos que iniciaron el archivo
• Prevalencia de archivos y su cambio con el tiempo

Cada objeto se verifica con una gran lista de indicadores creados por expertos y sistemas expertos. Por ejemplo, puede ser importante comprobar:

• Si el archivo tiene una extensión doble en el momento de ejecutar ("MyPhotos.jpg .exe")
• Si el archivo se encuentra en la carpeta C:\Windows\System32, aunque esté comprimido y tenga el atributo de archivo "oculto"
• Si el archivo tiene una extensión obsoleta (p. ej., ".com", ".pif", etc.)
• Si el nombre de archivo es muy similar a un archivo de sistema de confianza, con solo una diferencia (por ejemplo, "svcnost.exe")
• Si el archivo se descargó mediante un objeto ya conocido como malicioso
• etc.

Al pasar la lista de reglas, cada objeto obtiene una puntuación de riesgo de objeto calculada, que Astraea utiliza para tomar una decisión experta sobre si el objeto es malicioso o no. Por lo tanto, cuanta más información se recopila sobre un objeto, más precisa podría ser la conclusión automática. Es evidente que, en algunos casos, podría determinarse que no se tiene la suficiente información sobre el objeto para presentar un veredicto. Si este es el caso, la calificación se volverá a calcular más tarde después de que se recopile información adicional.

Una vez que Astraea genera su veredicto sobre el objeto, lo transfiere al servicio en la nube de Kaspersky Security Network, lo que permite comunicarse inmediatamente con los usuarios de todo el mundo.

Es importante tener en cuenta que la lógica del sistema no es estática; el sistema está en un estado de aprendizaje automático permanente. En el mundo en el que los creadores de malware siempre verifican su código contra la detección por parte de soluciones de seguridad y atacan con nuevas técnicas, el sistema de indicadores podría convertirse en algo no real y fácilmente podría disminuir la eficiencia en la tasa de detección y aumentar los falsos positivos. Esto significa que se deben probar los indicadores por separado y la lista de ellos en su totalidad para comprobar su eficiencia y se deben actualizar dinámicamente según la información recopilada de la base de datos y los conocimientos especializados de Kaspersky.

Desde su inicio en 2012, el porcentaje de detecciones creadas por Astraea frente al número total de nuevas detecciones aumentó de un 7,53 % a un 40,5 % a finales de 2016 (323 000 nuevas detecciones diarias), con un total de mil millones de archivos maliciosos únicos.