Llegamos a ustedes gracias a:



Reportajes y análisis

La detección de amenazas llegará a su teléfono inteligente

[16/11/2017] Como parte de la creciente tendencia, MobileIron anunció que añadirá su software de detección de amenazas basado en aprendizaje de máquina a su cliente de gestión de la movilidad empresarial (EMM, por sus siglas en inglés), lo que afirmó ayudará a combatir el aumento de los ataques a móviles.

La compañía con sede en Mountain View, California, afirmó haberse asociado con Zimperium, fabricante de soluciones de análisis del comportamiento basado en software de aprendizaje de máquina que monitorea dispositivos móviles en busca de actividad y aplicaciones maliciosas.

MobileIron afirmó que integrará el software z9 Engine de Zimperium en su cliente de seguridad y cumplimiento normativo. El software residirá en las tabletas o teléfonos inteligentes de iOS o Android, y también se volverá parte de las consolas de control EMM de los administradores de TI. El upgrade hacia el cliente EMM de MobileIron "automatizará el proceso de detección y respuesta de amenazas a móviles, declaró MobileIron.

Otras proveedoras dirigen su atención al campo del aprendizaje de máquina y están formando alianzas, como Blackberry y Zimperium, al igual que los competidores de PC que incluyen a Dell con Cylance. Pero no está complemente claro qué tan efectiva es la detección de amenazas al móvil (MTD, por sus siglas en inglés) por medio de algoritmos de aprendizaje de máquina, y aún existe un número relativamente reducido de compañías que han desplegado la tecnología, de acuerdo con Jack Gold, analista principal de la firma de investigación, J. Gold Associates.

Nicholas McQuire, vicepresidente de investigación corporativa en CCS Insight, afirmó que actualmente hay mucha bulla de marketing alrededor de lo pueden lograr el aprendizaje de máquina y la inteligencia artificial, pero la tecnología es muy prometedora para la reducción del malware.

Los ataques a móviles se han duplicado en los últimos dos años, lo que ha llevado al correspondiente aumento del interés en la seguridad móvil por parte de las áreas de TI -y particularmente en MTD, afirmó McQuire. Este año, más del 35% de los responsables de la toma de decisiones de TI mencionaron la seguridad de los dispositivos, junto a la protección contra el malware y las amenazas, como las prioridades más grandes para la inversión en el campo de la movilidad y seguridad empresarial, de acuerdo con la encuesta Workplace Technology Survey de CCS del 2017. La encuesta fue realizada en agosto y los resultados completos aún no han sido publicados.

"De acuerdo con nuestra perspectiva, la integración de EMM y MTD es crucial para resolver las necesidades actuales de los clientes y también es un área importante de innovación para los líderes en el abastecimiento de tecnología en el futuro, afirmó McQuire. "Se está volviendo una parte central de la industria de EMM. No existe duda al respecto.

Sin embargo, McQuire añadió que actualmente es imposible decir qué tan efectivo es el aprendizaje de máquina para detectar amenazas potenciales en móviles, pues sigue siendo una tecnología en desarrollo.

La detección EMM de amenazas es una mezcla

La detección de amenazas en móviles y las herramientas de defensa usan una mezcla de tecnologías de administración de vulnerabilidades, detección de anomalías, elaboración de perfiles de comportamiento, prevención de intrusión y transporte de seguridad para defender a los dispositivos móviles de amenazas avanzadas, de acuerdo con Gartner. Los productos MTD deberían proporcionar cuatro niveles de protección, de acuerdo con la firma de investigación:

  • Detectar anomalías en el comportamiento del dispositivo por medio del rastreo de patrones esperados y aceptables de uso
  • Realizar evaluaciones de vulnerabilidad mediante la inspección de dispositivos en busca de debilidades de configuración que terminarán en la ejecución del malware
  • Monitorear el tráfico de red y desactivar las conexiones sospechosas hacia y desde los dispositivos móviles
  • Identificar las aplicaciones maliciosas y aquellas que pueden poner en riesgo la información de la compañía a través del escaneo de reputación y el análisis de código

Además de Zimperium, LookOut, Skycure (ahora parte de Symantec) y Wandera son las líderes en el mercado de la detección de amenazas en móviles y defensa, donde cada una está usando su propia algoritmo de aprendizaje de máquina para detectar amenazas potenciales.

Wandera, por ejemplo, acaba de lanzar públicamente su motor de detección, MI:RIAM.

En mayo del presente año, haciendo uso de una colección de tecnologías que expanden el espectro del aprendizaje de máquina, se alega que MI:RIAM detectó más de 400 virus del ransomware SLocker reempaquetado dirigidos a las flotas móviles de los negocios, de acuerdo con Jeanine Sterling, directora de investigación de la consultoría de TI, Frost & Sullivan.

"La mayoría había pensado que esta variante particular había desaparecido, pero MI:RIAM hizo lo que una solución de aprendizaje de máquina hace: Se basó en millones de puntos de datos históricos y reconoció el ADN digital de SLocker. Sin el aprendizaje de máquina, ese tipo de descubrimiento simplemente no hubiese ocurrido nunca, declaró Sterling en una respuesta a Computerworld vía correo electrónico.

Google y Microsoft se unen al mercado de detección de amenazas

Microsoft también ha estado desplegando la tecnología de detección de amenazas basada en aprendizaje de máquinadentro de su plataforma de Windows 10, la cual también incorpora la capacidad EMM mediante su servicio de nube, InTune. El sistema operativo más reciente de Microsoft emplea Windows Defender Advanced Threat Protection, una inteligencia artificial con base en la nube y construida por encima del Microsoft Intelligent Security Graph (ISG), que -afirma Microsoft- es capaz de identificar nuevas amenazas, incluyendo al ransomware.

Google también ha desplegado un algoritmo de aprendizaje de máquina, al cual llama "Peer Group Analysis, para identificar aplicaciones móviles potencialmente dañinas en su tienda Google Play, que recolecta o envía datos confidenciales sin una necesidad clara, y les facilita a los usuarios encontrar aplicaciones que proporcionan la funcionalidad adecuada y que respetan su privacidad.

"Por ejemplo, la mayoría de aplicación de libros de colorear no necesitan saber la locación precisa del usuario para funcionar, y esto puede establecerse mediante el análisis de otras aplicaciones de libros de colorear, declaró Google recientemente en su blog para desarrolladores.

La tecnología de aprendizaje de máquina de Zimperium no ha sido limitada a dispositivos móviles únicamente, y ha sido vendida dentro de muchas aplicaciones móviles de banca, incluyendo las que son usadas por el Bank of America, afirmó McQuire. "En estos momentos, las empresas están muy interesada en la tecnología, pero ha habido barreras, afirmó.

Uno de los problemas que demoran el despegue del MTD ha sido la resistencia por parte de las empresas para adquirir productos separados de sus proveedoras de EMM, así como el rechazo por parte de los usuarios, quienes dudan sobre la instalación de software en sus teléfonos inteligentes y tabletas. Es por esto por lo que el software MTD no ha sido desplegado ampliamente hasta el día de hoy, afirma McQuire.

La retroalimentación inicial respecto a la detección positiva

El producto z9 Engine de Zimperium se diferencia de sus competidores de nube en que el software de z9 Engine reside en el dispositivo móvil y no solo busca malware, sino también busca amenazas potenciales en la red, los hotspots Wi-Fi y el comportamiento del usuario. También observa la salud básica de un dispositivo, por lo que, si está siendo invadido por un ataque de malware, también cuenta con la capacidad de remediar ese ataque en tiempo real, de acuerdo con McQuire. Con la detección de las amenazas de nube, existe una demora en la señal entre el momento en el que el software reconoce una amenaza y el momento en el que reacciona a ésta.

El z9 Engine de Zimperium monitorea el comportamiento del usuario para evitar que el malware sea descargado al dispositivo, e inspecciona la salud de las aplicaciones que se descargan desde Google Play o la App Store de Apple, afirma McQuire. "Parte del elemento del aprendizaje de máquina de esto es que después el z9 Engine puede empezar a aprender sobre el comportamiento y hasta cierto punto automatizar las respuestas basándose en si es que ese dispositivo ya no obedece o ha sido comprometido por el malware, afirma McQuire.

El aprendizaje de máquina -y el análisis predictivo que éste hace posible- están recibiendo una cantidad significativa de atención en el campo de la movilidad, de acuerdo con Sterling de Frost & Sullivan.

"Ya hemos visto que esta capacidad se incorpora cada vez más en las aplicaciones móviles para los trabajadores, y tiene mucho sentido añadirla a las soluciones de administración de móviles; especialmente a medida que el EMM evoluciona hacia una UEM (Administración Unificada de Terminal Final) y también asume la responsabilidad de administrar y proteger ciertos dispositivos selectos de la IoT, afirma Sterling.

La retroalimentación inicial por parte de los usuarios de la tecnología MTD ha sido positiva, de acuerdo con Sterling, pero aún está en una etapa temprana, así que la tecnología recién está empezando a escalar la curva de aprendizaje.

¿Existen consecuencias de contar con aprendizaje de máquina adicional en los dispositivos móviles?

"Es evidente que el aumento de los ataques cibernéticos y los incidentes de malware tienen a todos nerviosos y en busca de maneras de combatir dichas amenazas. El software de detección de amenazas basado en el aprendizaje de máquina promete una identificación de las amenazas veloz y en tiempo real -y después una solución rápida y automatizada, afirma Sterling. "La desventaja es la falsa alarma, que puede ser abrumadora y contraproducente.

Otra preocupación con el MTD ha sido que, cuando está alojado en un dispositivo móvil, podría afectar el desempeño de la tableta o teléfono inteligente a medida que adquiere más y más datos para analizar.

John Michelsen, chief product officer de Zimperium, afirmó que el software z9 es 99% efectivo en la detección de malware, y funciona "offline. Después, los "clasificadores de amenaza resultantes o algoritmos son usados en el dispositivo para detectar amenazas.

"Dado que la solución solo lee atributos y no escribe, ésta no cambia nada en el dispositivo y no puede impactar en su desempeño con el tiempo, afirma Michelsen, añadiendo que eliminar aplicaciones maliciosas de hecho puede contribuir al desempeño de su dispositivo.

Las soluciones de MTD continúan siendo una mezcla, de acuerdo con Gold, pero tener muchos dispositivos móviles en uso dentro de una compañía incrementa mucho la exposición y el riesgo, así que el empleo de la tecnología es "ciertamente mejor que no tener nada, afirma Gold. "Pero la mayoría de amenazas móviles llegan mediante aplicaciones malas, y no siempre queda claro que esos productos puedan atrapar todos esos ataques de malware, añade Gold.

El z9 Engine de Zimperium intenta utilizar un entendimiento de qué es lo que deberían hacer las aplicaciones, cómo deberían interactuar los usuarios y qué funciones en el dispositivo deberían ser activadas con el fin de detectar malos actores, afirma Gold.

"Esto es mucho mejor que solo la equiparación de firmas que hemos empleado en las PC por muchos años. Pero es difícil determinar qué tan exitosos son los productos para detectar todas las amenazas. Y los vectores de ataque son distintos para Android y para iOS, anota Gold, "Así que tiene que tener experiencia en ambos sistemas si desea desarrollar exitosamente un producto para la mitigación de amenazas en móviles (a no ser que decida ir tras una sola plataforma). Desarrollar un producto para iOS es más difícil debido a que Apple provee menos ganchos hacia el sistema operativo con los cuales monitorear y adherirse a este.