Presentamos OPSWAT MetaDefender Threat Intelligence

En OPSWAT, valoramos la innovación, la creatividad y la mejora continua a la hora de desarrollar soluciones avanzadas para proteger las infraestructuras críticas y las organizaciones frente a las ciberamenazas. Estos valores nos han inspirado a crear OPSWAT MetaDefender Threat Intelligence, una herramienta que nos permite comprender e identificar mejor las ciberamenazas en constante evolución, así como detectar e identificar archivos similares.

A medida que las variantes de malware se vuelven cada vez más sofisticadas y difíciles de detectar, las soluciones antivirus tradicionales basadas en firmas resultan insuficientes. Para hacer frente a este reto, los expertos en ciberseguridad OPSWAT han desarrollado una solución ingeniosa que aprovecha la tecnología de análisis estático de vanguardia y el aprendizaje automático para identificar similitudes entre archivos. Este enfoque ofrece un medio eficaz para mitigar los riesgos de ciberseguridad y prevenir posibles ataques.

La creación de MetaDefender Threat Intelligence nosThreat Intelligence la oportunidad de abordar un problema complejo y urgente. Hemos podido desarrollar soluciones de ciberseguridad eficaces que proporcionan a las organizaciones la información que necesitan para anticiparse a las amenazas emergentes y prepararse ante ellas. Esto se ajusta a nuestra cultura de innovación y a nuestro compromiso de ofrecer la mejor protección posible a nuestros clientes.

Los datos

Para realizar búsquedas de similitud, los archivos se someten a un riguroso proceso de análisis mediante las tecnologías de emulación estática y de archivos MetaDefender . Esta tecnología avanzada extrae la información más relevante y útil de un archivo determinado.

Nuestros expertos analistas de malware han identificado las características más eficaces para calcular las similitudes entre dos archivos. Estas características se seleccionan cuidadosamente en función de su capacidad para ofrecer resultados precisos y relevantes, y se actualizan continuamente para mantenerse al día con las últimas tendencias y técnicas de malware.

Algunas de sus características son:

• Metadatos binarios (tamaño del archivo, entropía, arquitectura, características del archivo y muchos otros)
• Importaciones
• Recursos
• Secciones
• Señales
• Y mucho más

Nota: Al buscar similitudes entre archivos, es importante utilizar las señales generadas por Filescan no basarse únicamente en la clasificación final (malicioso, informativo, etc.) de un archivo. Este enfoque ayuda a evitar cualquier posible sesgo que pueda surgir durante el proceso de búsqueda de similitudes.

Proceso

El proceso de búsqueda por similitud consiste en extraer y transformar estas características de los archivos ejecutables portátiles (PE) en representaciones vectoriales. Las representaciones vectoriales representan los datos como puntos en un espacio de n dimensiones, lo que permite que los puntos de datos similares se agrupen, creando así una huella digital del archivo. El número de dimensiones lo determina cada sección mediante la reducción de la dimensionalidad.

A continuación, la solución utiliza múltiples cálculos de distancia modificados entre estos vectores para encontrar los archivos más similares, lo que nos permite responder a la pregunta: «¿En qué medida se parece este archivo a otro?». La arquitectura y el algoritmo emplean métodos de indexación que garantizan un procesamiento rápido incluso al buscar entre millones de archivos. El análisis algorítmico de estos campos permite a la solución identificar y aislar con precisión archivos similares y amenazas.

Además de contar con tecnología avanzada, Similarity Search ofrece una interfaz personalizable que permite a los usuarios filtrar sus parámetros de búsqueda. Esta función ofrece una mayor flexibilidad y garantiza que los usuarios obtengan los resultados más precisos y relevantes para sus necesidades específicas.

Filtros:

• Etiquetas
• Veredicto
• Umbral de similitud

La cartera de proyectos

El proceso del canal consiste en tomar un nuevo archivo PE de entrada, como un ejecutable, y someterlo a modelos de aprendizaje automático que generan representaciones vectoriales basadas en características preseleccionadas. A continuación, estos vectores se integran en un espacio vectorial, que puede tener cualquier número de dimensiones.

Utilizamos diversas métricas de distancia para calcular la similitud entre vectores y características, lo que nos ayuda a determinar el punto más cercano a un archivo PE de entrada determinado.

Índice de similitud

Cabe señalar que las puntuaciones de similitud no son absolutas y pueden ser en cierta medida subjetivas. No existe una fórmula ni un estándar universalmente aceptado para determinar el grado de similitud entre archivos, ya que este puede variar en función del contexto y del caso de uso concreto. Por lo tanto, es importante interpretar las puntuaciones de similitud con cautela y tener en cuenta la metodología utilizada para calcularlas. La búsqueda por similitud utiliza ponderaciones para calcular una puntuación de similitud precisa.

Resultados MetaDefender ether

Filescan ofrece información exhaustiva sobre el archivo utilizado para la búsqueda de similitudes. Sin embargo, es importante analizar minuciosamente esta información para comprender plenamente las características y propiedades del archivo. La interfaz de usuario muestra diversas propiedades del análisis del archivo y genera un informe detallado de sus características.

Para acceder a la función de búsqueda por similitud, diríjase a la parte izquierda de la interfaz de usuario. De forma predeterminada, la función de búsqueda por similitud se inicia automáticamente con los parámetros predeterminados. Además, se ofrecen a los usuarios múltiples opciones de filtrado para ayudarles a personalizar su búsqueda y obtener resultados óptimos en función de los requisitos especificados.

Filtros:

• Etiquetas: Se trata de etiquetas dinámicas que se asignan a los archivos en función de sus atributos. Al utilizar la función de búsqueda por similitud, las etiquetas pueden servir para identificar archivos con características específicas, como «peexe» o «shell32.dll». Las etiquetas facilitan la realización de búsquedas específicas y eficientes, lo que permite a los usuarios encontrar rápidamente los archivos que se ajustan a sus necesidades concretas.
• Veredicto: El Filescan ofrece el resultado de un análisis realizado en el archivo, indicando si este está limpio, es malicioso o puede resultar perjudicial de alguna manera. Al utilizar el Filescan como filtro, los usuarios pueden refinar sus resultados de búsqueda para excluir los archivos marcados como maliciosos o sospechosos.
• Umbral de similitud: se trata de un parámetro configurable que determina el nivel mínimo de similitud necesario para que los archivos se incluyan en los resultados de la búsqueda. Al ajustar este umbral, los usuarios pueden personalizar sus resultados de búsqueda para adaptarlos a sus necesidades específicas. Por ejemplo, pueden encontrar archivos que estén estrechamente relacionados o aquellos que tengan una conexión más tenue. Este filtro resulta útil para los usuarios que necesitan encontrar un equilibrio entre la precisión y una búsqueda amplia y exhaustiva.

Pestañas

En la función de búsqueda por similitud, se muestran a los usuarios opciones de filtrado predeterminadas en forma de pestañas. Estas pestañas permiten a los usuarios filtrar los resultados según los archivos más similares, los más recientes y aquellos que han sido marcados como maliciosos. Estas opciones de filtrado previo están diseñadas para mejorar la eficiencia y la precisión de la experiencia de búsqueda de los usuarios.

Threat Intelligence

Threat Intelligence ofrece a los usuarios diversas funciones, como la posibilidad de ver los archivos más relacionados y utilizar la interfaz de usuario con filtros. Al seleccionar un identificador SHA256 concreto, los usuarios pueden obtener información detallada sobre la similitud del archivo asociado, junto con sus características generales.

Casos de uso principales

Al igual que con cualquier aplicación de aprendizaje automático, es fundamental validar los resultados de una búsqueda por similitud. Sin embargo, esta función ofrece a los usuarios un amplio abanico de posibilidades para explorar e identificar de forma eficaz los archivos relevantes. La búsqueda por índice proporciona una búsqueda por hash excepcionalmente rápida para todo tipo de archivos, lo que constituye la piedra angular del producto. Las siguientes entidades pueden beneficiarse de la funcionalidad de búsqueda por similitud.

• Los analistas de inteligencia sobre amenazas cibernéticas, que pueden aprovechar esta capacidad para investigar y detectar amenazas nuevas y en constante evolución, mejorando así el nivel de seguridad de su organización.
• Los cazadores de amenazas, que pueden buscar de forma proactiva indicadores de compromiso (IOC) y posibles vulnerabilidades, previniendo así las actividades maliciosas.
• Cualquier persona interesada en analizar las relaciones entre archivos e identificar similitudes, incluidos investigadores, peritos y analistas.

Accede a la búsqueda por similitud

Descubre cómo puedes integrar la búsqueda por similitud en tus procesos consultando nuestra documentación en opswat. Ten en cuenta que la función de búsqueda por similitud es un complemento disponible exclusivamente para los usuarios de nuestros paquetes de pago Filescan Threat Intel. Si te interesa conocer esta función, ¡regístrate hoy mismo!

Regístrate ahora