Microsoft apuesta por el aprendizaje profundo para mejorar la función de detección de PowerShell malicioso de Microsoft Defender Advanced Threat Protection (ATP) utilizando una nueva técnica desarrollada originalmente para el procesamiento del lenguaje natural (NLP).

El nuevo modelo de aprendizaje profundo «ahora se adopta y aplica para expandir nuestra cobertura de detección de scripts maliciosos de PowerShell, que continúan siendo un vector de ataque crítico», dice Microsoft.

El modelo de aprendizaje profundo de Microsoft utilizado para la detección de scripts maliciosos de PowerShell «combina varios bloques de construcción de aprendizaje profundo como las Redes neuronales convolucionales (CNN) y las Redes neuronales recurrentes de memoria a corto plazo (LSTM-RNN)».

 

La compañía adoptó el modelo de mejor desempeño diseñado para PNL y capacitado en colecciones de scripts de PowerShell que la plataforma ATP de Microsoft Defender observó a través de la interfaz de escaneo de antimalware (AMSI) .

Después de su primer despliegue en Microsoft Defender ATP, este modelo de aprendizaje profundo específicamente entrenado para detectar scripts maliciosos pudo encontrar un comportamiento malicioso de PowerShell que omitió otras características de monitoreo de Microsoft Defender ATP.

«La detección más fuerte de scripts maliciosos de PowerShell y otras amenazas en los puntos finales que utilizan el aprendizaje profundo significa una seguridad más rica y mejor informada a través de Microsoft Threat Protection, que proporciona seguridad integral para identidades, puntos finales, correo electrónico y datos, aplicaciones e infraestructura», concluye Microsoft Defender Equipo ATP.

Los modelos de aprendizaje profundo también se utilizan como parte del motor ML de clasificación de archivos de la plataforma para una clasificación casi en tiempo real a través de clasificadores de redes neuronales profundas diseñados para inspeccionar el contenido completo de los archivos en busca de una capa adicional de defensa contra ataques cibernéticos

 

Scripts maliciosos de PowerShell detectados por el modelo
Scripts maliciosos de PowerShell detectados por el modelo

 

El Microsoft Defender ATP también utiliza clasificadores de aprendizaje profundo como parte de su motor ML basado en detonaciones que detonaría archivos sospechosos dentro de un sandbox para analizar los comportamientos observados para el bloqueo de ataques.

En marzo, Microsoft anunció la adición de una función de «Protección contra manipulaciones» diseñada para bloquear los cambios en las funciones de seguridad clave y para evitar la desactivación de la solución antimalware o eliminar actualizaciones de seguridad sin el permiso del usuario.

Dos meses después, en mayo,  Microsoft Defender ATP se actualizó con nuevas capacidades de respuesta en vivo que permiten a los equipos de operaciones de seguridad realizar análisis forenses del sistema de forma remota.

Microsoft Defender ATP es una solución de protección de punto final que permite a los administradores de sistemas monitorear el panorama de amenazas y malware de su red desde una ubicación centralizada utilizando capacidades de seguridad y privacidad de datos.

«Microsoft Defender ATP combina datos recopilados de millones de puntos finales con recursos computacionales y algoritmos de Microsoft para proporcionar protección líder en la industria contra ataques», dice Redmond.

Fuente: bleepingcomputer.com

Compartir