DIARIO, o detector de malware de documentos que respeita a privacidade

Área de Inovação e Laboratório ElevenPaths    15 junio, 2020
DIARIO, o detector de malware de documentos que respeita a privacidade

Vamos imaginar que um usuário receba um arquivo do Excel com informações que deveriam ser secretas ou confidenciais. O usuário acha que pode ser um malware , mas o antivírus local não o detectou (desde que chegou ao email ou ao disco rígido e o antivírus não se manifestou). E se realmente fosse malware ? Como poderíamos verificar isso?

Se o enviarmos para um sistema multivírus na Web ou, por e-mail, para um administrador que possa nos ajudar a distingui-lo, poderemos divulgar informações confidenciais se o arquivo for legítimo. Você comprometeria informações confidenciais para tentar proteger seu sistema. No entanto, se você não usar nenhuma medida de segurança porque acredita que o documento não deve ser compartilhado, ele poderá infectar o sistema. É nesse ponto que pensamos que o Diario  poderia entrar em cena.

Sobre O DIARIO

Diariamente  é um novo conceito de detecção de malware . O DIARIO digitaliza e analisa documentos estaticamente e sem a necessidade de conhecer o conteúdo desses arquivos. Ele usa a estrutura característica e a forma do arquivo sem usar nenhum conteúdo sensível para análise. DIARIAMENTE extrai as funcionalidades e com elas cria um vetor impossível de atribuir a um único arquivo. Com esse vetor, técnicas padrão de Machine Learning são usadas para detectar malware .

O modelo usado é flexível e é rotineiramente treinado com as amostras de malware mais recentes para poder detectar e complementar além das assinaturas antivírus tradicionais.

Esse sistema de detecção baseado no Machine Learning é patenteado e foi totalmente construído pela área de inovação e laboratório da ElevenPaths.

Existem muitas soluções baseadas no Machine Learning para detectar malware , mas o DIARIO difere delas porque:

  • É especializada nos documentos em que é mais necessário respeitar a privacidade: PDF e Office.
  • Treinamos nosso modelo de aprendizado de máquina com as amostras menos detectadas, por sua vez, pelos mecanismos antivírus. Dessa forma, podemos cobrir a lacuna que as soluções tradicionais geralmente custam mais. Não se destina a substituir antivírus, mas a complementá-los.
  • Possui um painel para o analista validar e reforçar o sistema de maneira confortável. Este painel pode ser usado por analistas para realizar pesquisas de malware : atribuição, detecção, aprendizado, análise e investigação, etc. Assim, teríamos dois perfis de usuário: aquele que deseja usar o serviço de previsão sem comprometer os dados nos documentos e o analista que pode tirar proveito do banco de dados sem ter que acessar nenhum dado comprometedor nos documentos.
  • As análises são muito rápidas. Precisamos de uma parte mínima do arquivo para carregar no servidor e prever o ataque. Não é que o servidor descarte o arquivo, é que ele não é necessário.

Como é consumido?

Está em execução há alguns meses, aqui apresentamos as fórmulas para consumi-lo:

  • Web : o usuário só precisa arrastar o arquivo no analisador e receberá a previsão sem comprometer as informações do documento.
  • Plug – in de email : você pode enviar anexos de maneira conveniente sem comprometer sua privacidade. Daremos outros detalhes mais tarde.
  • Painel de analistas : de onde documentos e características podem ser pesquisados, analisados ​​ou relacionados, mantendo a confidencialidade do documento, desenvolvendo novas investigações e melhorando a inteligência coletiva. Por enquanto, funciona por convite.
  • Os links podem ser compartilhados em páginas estáticas com resultado e previsão.

Você não confia no sistema? Muito bem, para isso temos as fórmulas de remessa parcial.

  • API : qualquer pessoa pode consumir através de uma API. Crie seu próprio cliente, encaixe-o em seus repositórios, etc. O FOCA já o integra.
  • SDK e ferramentas por linha de comando . No nosso GitHub.
  • Cliente para Windows, Linux e Mac, que mostra o conteúdo necessário para o cálculo e no qual apenas o necessário é carregado.

Eficácia

Executamos alguns testes que permitem afirmar que o nível de detecção (e falsos positivos) está no nível de qualquer outra solução comercial. Por outro lado, realizamos um teste com tipos especiais de malware de macro, principalmente com o que não é detectado pelos sistemas de assinatura tradicionais. O relatório completo está disponível em https://diario.elevenpaths.com


Laboratório ElevenPaths e Área de Inovação     

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *