Risk Model NG, un nuevo motor de detección phishing
Check Point Software presentó Risk Model NG, un motor de IA en constante entrenamiento, para analizar información clave sobre sitios web. Logrando resultados excepcionales en la detección de intentos de phishing. Integrado con su IA ThreatCloud, ofrece protección integral en las puertas de enlace de Check Point Quantum, Harmony Email, Endpoint y Harmony Mobile.
El phishing sigue siendo una de las ciberamenazas más extendidas y de más rápida evolución. Con la aparición de millones de nuevos dominios maliciosos cada año y un aumento constante de ataques contra marcas reconocidas. Los atacantes diseñan sitios de phishing que replican fielmente servicios legítimos. Tomando prestados logotipos, diseños e incluso flujos de inicio de sesión, para engañar a los usuarios y que proporcionen sus credenciales.
Muchos sitios de phishing evaden la detección evitando deliberadamente los errores más obvios que los hacen fáciles de detectar. Por ejemplo, suelen eliminar las referencias de marca del código HTML que revelarían la empresa suplantada. Y se aseguran así de utilizar certificados SSL/TLS válidos en lugar de certificados autofirmados o no coincidentes. Los atacantes también minimizan el uso de JavaScript, que los sistemas de seguridad marcan como sospechoso. Y varían entonces sus plantillas para evitar la detección mediante patrones repetidos en varios sitios.
Sin embargo, al analizar un conjunto completo de características de estos sitios, es posible distinguir entre sitios web maliciosos e inofensivos. La mayoría de las funciones web de los sitios se derivan del dominio de alojamiento, que es legítimo y reconocido. Sin embargo, al analizar indicadores clave, como enlaces rotos, un favicon faltante, un dominio de alojamiento web y un formulario de registro, surge un patrón claro que confirma que el sitio es, en efecto, un intento de phishing.
Los atacantes adaptan constantemente sus métodos, creando ataques que producirán innumerables variaciones en los indicadores descritos anteriormente. Como resultado, basarse en un conjunto fijo de reglas sobre estos indicadores no es suficiente para detectar nuevos ataques. Para superar este desafío, Check Point Software entrenó un modelo para aprender los patrones tanto del tráfico regular como del phishing. Esto permite que el modelo etiquete un sitio como un nuevo intento de phishing. Incluso cuando cada indicador individual parece inofensivo y la combinación específica de indicadores en el sitio nunca ha aparecido antes.
Risk Model NG se entrena con un amplio conjunto de datos de sitios web, tanto benignos como de phishing. El modelo utiliza cientos de funciones basadas en datos DNS, certificados SSL, datos Whois, análisis de enlaces y mucho más. Estas funciones se seleccionaron meticulosamente por analistas cibernéticos y se derivaron mediante cálculos avanzados, a veces complejos. Para proporcionar una comprensión completa del comportamiento y las características del sitio.
En esencia, el modelo se basa en un algoritmo altamente eficiente y robusto, ideal para este tipo de análisis. Esto permite cálculos ultrarrápidos, lo que permite a Risk Model NG bloquear sitios de phishing en tiempo real con una precisión excepcional. Lo que distingue su enfoque es la profunda investigación en ciencia de datos que se realizó para el desarrollo del modelo. Así como la escala de datos que pueden utilizar como empresa de seguridad global. Lo que proporciona al modelo una visión mucho más completa de los patrones de phishing que las soluciones más pequeñas o específicas. Y el hecho de que re entrenan continuamente el modelo con el tráfico más reciente. Lo que garantiza que se mantenga actualizado y eficaz contra las amenazas emergentes, algo que muchos métodos estándar de la industria tienen dificultades para lograr.
Uno de los factores clave que sustentan la potencia de este modelo es el canal de entrenamiento automatizado. Procesa cantidades masivas de datos y genera diversas variaciones del modelo junto con distribuciones de características. Lo que permite a los investigadores analizar cómo las distintas características impactan en el modelo y ajustarlo para un rendimiento óptimo.
