DIARIO, el detector de malware en documentos que respeta la privacidad

Imaginemos que un usuario recibe un fichero Excel con información que se supone debe ser secreta o confidencial. El usuario piensa que podría ser malware, pero su antivirus local no lo ha detectado (puesto que ha llegado a su correo o disco duro y el antivirus no se ha manifestado). ¿Qué ocurriría si realmente fuese malware? ¿Cómo podríamos comprobarlo?

Si lo enviamos a un sistema multiantivirus en la web o, a través de un email, a un administrador que pueda ayudarnos a distinguirlo, podríamos estar divulgando información confidencial si el fichero es legítimo. Estaría comprometiendo información confidencial para intentar proteger su sistema. Sin embargo, si no utiliza ninguna medida de seguridad porque considera que el documento no debe ser compartido, podría llegar a infectarse el sistema. Es en este punto en el que pensamos que podría entrar en juego DIARIO.

Sobre DIARIO

DIARIO es un nuevo concepto de detección de malware. DIARIO escanea y analiza documentos de manera estática y sin necesidad de conocer contenido de esos ficheros. Utiliza la estructura y forma características del fichero sin utilizar ningún contenido sensible para el análisis. DIARIO extrae las funcionalidades y con ellas crea un vector imposible de atribuir a un único fichero. Con este vector se utilizan técnicas estándar de Machine Learning para detectar malware.

El modelo usado es flexible y es habitualmente entrenado con las muestras de malware más recientes para poder detectar y complementar más allá de las firmas tradicionales de los antivirus.

Este sistema de detección basado en Machine Learning está patentado y ha sido construido totalmente por el Área de Innovación y Laboratorio de ElevenPaths.

Existen muchas soluciones basadas en Machine Learning para detectar malware, pero DIARIO se diferencia de ellas porque:

• Está especializado en los documentos en los que es más necesario respetar la privacidad: PDF y Office.
• Es inteligente. Hemos entrenado nuestro modelo de Machine Learning con las muestras menos detectadas a su vez por los motores antivirus. Así podemos cubrir la brecha que más les cuesta habitualmente a las soluciones tradicionales. No está pensado para reemplazar a los antivirus, sino para complementarlos.

• Cuenta con un panel para que el analista valide y refuerce el sistema de forma cómoda. Este panel puede ser usado por analistas para llevar a cabo investigaciones sobre malware: atribución, detección, aprendizaje, análisis e investigación, etc. Contaríamos así con dos perfiles de usuario: el que desea usar el servicio de predicción sin comprometer los datos de los documentos y el analista que puede aprovechar la base de datos sin tener por qué acceder a ningún dato comprometedor en los documentos.
• Los análisis son muy rápidos. Necesitamos una mínima parte del fichero para subir al servidor y predecir el ataque. No es que el servidor descarte el fichero, es que no se necesita el fichero.

¿Cómo se consume?

Lleva ya unos meses funcionando, aquí te presentamos las fórmulas para consumirlo:

• Web: el usuario sólo tiene que arrastrar el fichero en el analizador y recibirá la predicción sin que comprometa la información del documento.
• Plugin de correo: puede enviar los adjuntos cómodamente sin comprometer su privacidad. Daremos otros detalles más adelante.
• Panel del analista: desde donde se pueden buscar, analizar o relacionar documentos y características para, manteniendo la confidencialidad del documento, desarrollar nuevas investigaciones y mejorar la inteligencia colectiva. Por ahora funciona bajo invitación.
• Se pueden compartir los enlaces en páginas estáticas con el resultado y la predicción.

¿No te fías del sistema? Bien hecho, para eso tenemos las fórmulas de envío parcial.

• API: Cualquiera puede consumir DIARIO a través de una API. Construir su propio cliente, acoplarlo a sus repositorios, etc. FOCA ya lo tiene integrado.
• SDK y herramientas por línea de comando. En nuestro GitHub.
• Cliente para Windows, Linux y Mac, que muestra el contenido necesario para el cálculo y en el que se sube solo lo necesario.

Eficacia

Hemos realizado algunas pruebas que nos permiten afirmar que el nivel de detección (y de falsos positivos) está al nivel de cualquier otra solución comercial. Por otro lado, realizamos una prueba con tipos especiales de malware de macro, particularmente con aquel no detectado por los sistemas tradicionales de firmas. El informe completo está disponible en https://diario.elevenpaths.com