El modelo de inteligencia artificial fue incorporado en Kaspersky SIEM, la plataforma que ayuda a las organizaciones a monitorear su seguridad digital en tiempo real. Allí, la herramienta analiza constantemente los archivos que los programas cargan para funcionar y detecta si alguno de ellos ha sido reemplazado o modificado de forma sospechosa.
Para lograrlo, combina la información que obtiene directamente del sistema con datos globales de Kaspersky Security Network (KSN), una red que recopila y analiza millones de señales de actividad en todo el mundo. De esta forma, la tecnología puede identificar patrones de ataque con mucha mayor precisión y reducir las falsas alarmas que suelen generar los sistemas tradicionales.
Durante su fase de prueba, la IA ya mostró resultados concretos. Detectó un intento del grupo APT ToddyCat de ejecutar una herramienta, haciéndose pasar por una biblioteca del sistema, logrando bloquear el ataque antes de que causara daños. También identificó un programa malicioso conocido como infostealer, diseñado para robar contraseñas y datos personales, que se ocultaba dentro de un archivo falso. En otro caso, descubrió un archivo utilizado como cargador de malware, responsable de instalar otros programas dañinos en el sistema, escondido en una memoria USB. Estos hallazgos confirman la capacidad del modelo para descubrir señales de intrusión que antes pasaban completamente desapercibidas.
“Estamos viendo que los ataques de secuestro de DLL se vuelven más comunes, donde un programa de confianza es engañado para cargar una biblioteca falsa en lugar de la real. Esto permite a los atacantes ejecutar su código malicioso de forma encubierta. Esta técnica es difícil de detectar, y aquí es donde la IA puede ayudar. Usar técnicas de protección avanzadas potenciadas con IA es ahora esencial para mantenerse por delante de estas amenazas en evolución y mantener a salvo los sistemas críticos”, explica Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Para evitar estas vulnerabilidades, los expertos de Kaspersky recomiendan: Mantener el software y los sistemas operativos siempre actualizados, ya que las versiones más recientes corrigen fallos y brechas de seguridad que los atacantes pueden aprovechar para infiltrarse en los equipos. Descargar programas solo desde fuentes oficiales o verificadas, evitando instaladores falsos que pueden contener archivos DLL manipulados para ejecutar código malicioso. Aplicar controles de seguridad adicionales, como limitar quién puede instalar o modificar programas y mantener bajo vigilancia los archivos más importantes del sistema. Los ciberdelincuentes suelen intentar reemplazar esos archivos por versiones falsas para infiltrarse, por lo que es clave detectar cualquier cambio inesperado a tiempo. Usar soluciones de seguridad con inteligencia artificial, como Kaspersky SIEM: que analizan de forma automática y continua las bibliotecas DLL cargadas en el sistema. Esta tecnología permite identificar comportamientos sospechosos, reducir falsos positivos y detener ataques de secuestro de DLL antes de que causen daño.
La compañía continúa evolucionando sus capacidades de protección mediante el uso de aprendizaje automático y análisis en la nube, con el objetivo de anticiparse a las técnicas emergentes de los atacantes y mantener la seguridad de infraestructuras críticas y empresas en todo el mundo.
Securelist ha publicado dos artículos relacionados: el primero explica cómo se desarrolló un modelo de aprendizaje automático para detectar ataques de secuestro de DLL, mientras que el segundo describe cómo se integró este modelo en la plataforma Kaspersky SIEM. Para más información sobre cómo proteger la seguridad empresarial, visita nuestro blog. | 
No hay comentarios:
Publicar un comentario