Red Seguridad 095
60 red seguridad cuarto trimestre 2021 nar lo mejor posible en las predicciones. No hay modelos mejores que otros, por lo que es primordial estudiar y comprender el problema bien para implementar los que más se adecuen a la situación. Detección de ataques El Área de Innovación en Ciberseguridad de Ingenia ha desarrollado sus propias herramientas de uso interno, en el ámbi- to del SOC, basadas en IA para la detec- ción temprana de ataques que utilizan el correo electrónico para materializar su objetivo. Tras múltiples iteraciones con ensayos e implementaciones y una reca- libración constante de los modelos para su perfeccionamiento, son los modelos supervisados de Machine Learning ba- sados en la clasificación como Random Forest y Support Vector Machine los que han aportado mejores resultados en las predicciones. En el ámbito del Deep Learning , el mo- delo de perceptrón multicapa ha resulta- do ser el de mayor rendimiento. A grandes rasgos, la funcionalidad implementada consiste en extraer los datos y metadatos de un correo elec- trónico y clasificarlos en tres grandes bloques para su análisis (ver cuadro 3): Cabecera : Con los datos y metadatos procedentes de la cabecera intenta- mos obtener el origen real del correo o, en su defecto, una serie de indicios que aporten luz a la veracidad del re- mitente. Cuerpo : Se realiza un análisis rigu- roso de comportamiento sobre el texto donde formulamos cuestiones como ¿tiene el correo un hilo con- ductor general que tenga sentido?, ¿hay concordancia de género y nú- mero?, ¿tiene faltas ortográficas?, ¿parece escrito por una máquina? Las respuestas a estas preguntas nos pueden dar una idea del tipo de amenaza. Adjuntos : También son analizados para extraer información sobre repu- tación del archivo y posible contenido de software malicioso. A partir del análisis de toda esta infor- mación se llevan a cabo una serie de operaciones matemáticas para obtener como resultado un vector con el que se alimenta el modelo de IA. Finalmente, la herramienta es capaz de devolver cinco resultados posibles: correo limpio (no malicioso), phishing (o ingeniería social), malware ( software malicioso), scam (técnicas de extorsión al usuario) y spam (publicidad molesta). Debido al gran volumen de ataques que se siguen observando a través del correo electrónico, el impacto signifi- cativo que pueden tener y la dificultad para detectarlos a tiempo, estas ame- nazas no pueden bloquearse solamen- te mediante enfoques clásicos. Por consiguiente, se hace indispensable la aplicación complementaria de métodos de IA con los que aumentar las capaci- dades de detección. En el caso de uso expuesto, la apli- cación está enfocada en la mejora de las capacidades de un SOC para pre- venir y dar respuesta temprana a una de las principales amenazas para la continuidad del negocio en nuestras organizaciones. La lucha contra las amenazas a las que se expone el correo electrónico necesita la aplicación complementaria de métodos de IA Cuadro 3. Bloques de análisis de un correo electrónico. opinión
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz