Proofpoint Trust

Análise comportamental e AI/ML para detecção de ameaças: os bastidores do mais recente mecanismo de detecção da Proofpoint

Share with your network!

Terminologias como análise comportamental e AI/ML (inteligência artificial e autoaprendizagem) são tão empregadas no marketing de cibersegurança que os profissionais de segurança da informação acabam não prestando muita atenção a elas. De fato, talvez até seja bom não exagerar a importância desses termos.

De certa forma, esses modelos não são uma novidade. Há muito que a Proofpoint utiliza tecnologia de AI/ML para bloquear e-mails maliciosos e indesejados. Essa área está avançando em ritmo acelerado, viabilizando novas capacidades e casos de uso para que as organizações se protejam. Portanto, não só é importante fazer análise comportamental e AI/ML, mas fazê-las bem.

Analisemos mais a fundo as especificidades de como a Proofpoint utiliza essas tecnologias para lidar com ameaças de e-mail. (Ou fique à vontade para assistir a reprise de nosso webinar “Using Behavioral Analysis and AI/ML to Stop Phishing Attacks” (Utilização de análise comportamental e AI/ML para deter ataques de phishing), que conta com a participação de nossa equipe de cientistas de dados.)

O novo mecanismo comportamental Supernova baseia-se no Supernova para BEC

Proofpoint's New Supernova Behavioral Analysis Engine

Figura 1. A análise do novo mecanismo comportamental Supernova da Proofpoint utiliza linguagem, relacionamentos, cadência e contexto para detectar anomalias e prevenir ameaças em tempo real utilizando AI/ML.

No segundo trimestre de 2022 lançamos nosso mecanismo comportamental Supernova para todos os clientes de segurança de e-mail globalmente, sem custo adicional e sem exigir configuração adicional. O mecanismo comportamental Supernova detecta melhor padrões de e-mail fora do normal, aprimorando a detecção de todos os tipos de ameaças, de comprometimento de e-mail corporativo (BEC) a phishing de credenciais e muito mais. Ele se baseia no trabalho que realizamos com o Supernova como parte do Advanced BEC Defense em 2021, incorporando sinais e aprendizado daquele mecanismo.

Seguem alguns dos sinais que o mecanismo comportamental Supernova utilizará para determinar se uma mensagem é maliciosa (conforme o mecanismo evoluir, acrescentaremos mais sinais):

  • Remetente desconhecido, ou seja, alguém que nunca se comunicou antes com você
  • Linguagem ou sentimento incomum, como discutir uma transação financeira pela primeira vez
  • URL ou subdomínio incomum
  • Locatário de SaaS (software como serviço) incomum, o que costuma indicar uma conta de fornecedor comprometida
  • Infraestrutura de SMTP incomum, indicação de um provável comprometimento de conta

No entanto, o mecanismo comportamental Supernova não inclui apenas detecção. Ele também marca mensagens de remetentes incomuns utilizando tags de advertência de e-mail com “Report Suspicious” (Denúncia de suspeição) para alertar o usuário com conteúdo valioso e até mesmo permitir que ele denuncie a mensagem diretamente à equipe de resposta a incidentes ou à nossa solução automatizada de caixa de correio para denúncia de abuso. Os clientes poderão ver insights comportamentais diretamente no dashboard do Proofpoint Targeted Attack Protection (TAP) em caso de condenação de mensagens.

O novo mecanismo comportamental Supernova melhora nossa já altíssima eficácia, além de assegurar poucos falsos positivos para os clientes. Também temos um compromisso com a transparência, especialmente se considerarmos o falatório dos fornecedores quanto ao uso de AI/ML: nossa taxa atual de falsos positivos é de 1 em mais de 4,14 milhões, a qual é líder do setor e continuaremos a investir para melhorar. Essa abordagem de ciência de dados não é novidade para a Proofpoint.

Uma equipe de proeminentes cientistas de dados com alguns dos maiores conjuntos de dados globais de cibersegurança

Proofpoint Central Data Science Team

Figura 2. A Proofpoint utiliza uma equipe centralizada de cientistas de dados trabalhando com alguns dos maiores conjuntos de dados de cibersegurança do mundo para treinar nossos modelos.

Nossa equipe centralizada de cientistas de dados utiliza técnicas avançadas há mais de 20 anos para detectar e deter ameaças avançadas. A equipe trabalha nas linhas de produtos da Proofpoint e inclui profissionais do setores público e acadêmico, bem como especialistas com formação avançada em cibersegurança. Temos uma parceria com a Duke University, a Washington State University e a Harvey Mudd College, entre outras instituições, para assegurar que nossas habilidades e tecnologia sejam de ponta.

Com o Proofpoint Nexus Threat Graph, que tem acesso a imensos conjuntos de dados de cibersegurança de e-mail, nuvem, redes, domínios e mais, nossas equipes podem alimentar e aprimorar nossos modelos mais efetivamente. Sendo a solução distribuída número um de empresas da Fortune 100, da Fortune 1000 e da Global 2000 e tendo mais de 200.000 clientes de pequenas e médias empresas (PME), podemos alimentar mais rapidamente nossos modelos com dados e detectar ameaças com mais rapidez e precisão.

Sem um corpo de dados considerável, esses modelos se tornam ineficazes na identificação e ameaças e, às vezes, até contraproducentes devido ao excesso de falsos positivos.

O Supernova para BEC e o mecanismo comportamental Supernova podem melhorar a detecção de forma generalizada

BEC

Figura 3. O Supernova, lançado pela Proofpoint em 2021 como parte de nossa capacidade Advanced BEC Defense, agora condena mais do que apenas ameaças de BEC. Ele também detém efetivamente phishing de credenciais, enganos (muitos dos quais são “fraudes” de commodities, como fraudes de pagamento antecipado ou golpes românticos), malware e até mesmo TOADs.

Os resultados de ambos os mecanismos foram impressionantes. O Supernova, parte integrante da capacidade do Advanced BEC Defense que a Proofpoint lançou em 2021, condena a maioria dos ataques de BEC. Porém, devido à grande quantidade de dados com os quais o alimentamos, ele pôde aprender, adaptar-se e detectar muito mais — inclusive phishing de credenciais, ataques de malware e até mesmo ameaças de spam.

De maneira semelhante, o mecanismo comportamental Supernova poderá detectar e prevenir melhor todos os tipos de ameaças. No início do primeiro trimestre, a Proofpoint lançou o mecanismo em modo oculto e descobriu — em menos de quatro semanas — que ele aumentou em 6 vezes a eficácia da detecção de ameaças baseadas em faturas falsas. Agora que o novo mecanismo está em operação para todos os nossos clientes globais, mal podemos esperar para ver como ele aprenderá e melhorará a detecção de diversas ameaças avançadas.

Exemplos de como o mecanismo comportamental Supernova melhora a detecção

Seguem alguns exemplos de situações nas quais o mecanismo comportamental Supernova pode melhorar a detecção.

Amostra: Ameaça BEC por semelhança: probabilidade de melhoria da detecção

A Proofpoint bloqueia efetivamente milhões de ataques de BEC a cada mês. Contudo, estamos sempre tentando aprimorar a detecção. Nesta amostra, nosso mecanismo existente Supernova para detecção de BEC teria detectado o possível domínio semelhante e a linguagem do pagamento.

BEC Attack Identification Using Behavioral Signals

Figura 4. O mecanismo comportamental Supernova da Proofpoint acrescentará capacidades extras de detecção de ataques de BEC, determinando dinamicamente o relacionamento entre duas partes.

Nosso novo mecanismo comportamental Supernova passará a detectar que este é um remetente desconhecido do destinatário, aumentando a probabilidade de que a Proofpoint o detecte e condene esse ataque antes que o mesmo seja entregue. Ele faz um mapeamento avançado do relacionamento observando informações como cadência, linguagem e contexto das mensagens recebidas e enviadas para determinar dinamicamente o status do relacionamento entre ambas as partes no decorrer do tempo.

Mesmo que um remetente anterior e inativo fosse comprometido e iniciasse um ataque novo, o mecanismo comportamental Supernova consideraria essa comunicação anômala e a examinaria mais detidamente.

Amostra: Fornecedor comprometido por uma ameaça de compartilhamento de arquivos baseada em URL

URL Attack Identification Using Behavioral Signals

Figura 5. O mecanismo comportamental Supernova detectará melhor os fornecedores comprometidos, mesmo que os atacantes utilizem um site de compartilhamento de arquivos em suas tentativas de fraudar as vítimas.

Digamos que um dos seus fornecedores tenham uma conta de Microsoft 365 comprometida. Um perpetrador de ameaças assume o controle da conta, analisa as especificidades do seu relacionamento com o fornecedor e, então, configura um locatário SaaS do OneDrive semelhante com o objetivo de cometer fraude.

O e-mail enviado pelo perpetrador de ameaças vem de um remetente legítimo e comum, SharePoint, e passa na autenticação DMARC. Em termos de reputação, esse e-mail parece legítimo. E a linguagem utilizada, ou seja, um contrato, não é incomum, considerando-se o intercâmbio anterior com esse fornecedor. Porém, há alguns indícios que o mecanismo comportamental Supernova consegue identificar.

O mecanismo comportamental Supernova percebe que o subdomínio do URL de compartilhamento de arquivos é diferente e anômalo e, por isso, coloca o URL de compartilhamento de arquivos em uma área restrita (sandbox) para inspecionar o conteúdo. Isso significa que a Proofpoint pode detectar e bloquear com mais eficácia atacantes que estejam comprometendo contas de fornecedores e utilizando domínios semelhantes ou até mesmo novos subdomínios de locatários de compartilhamento de arquivos.

AI/ML e análise comportamental: parte de um conjunto mais amplo de detecção

O uso de AI/ML para inspeção de conteúdo e análise comportamental pode melhorar a eficácia da detecção. Isoladamente, porém, tais mecanismos podem gerar muito ruído. Por isso eles são apenas alguns dos mecanismos que a Proofpoint utiliza em nosso conjunto de detecção de 26 camadas.

Proofpoint Detection Ensemble

Figura 6. O conjunto de detecção da Proofpoint inclui mais de 26 camadas, o que aumenta a probabilidade de condenação de mensagens maliciosas sem criar falsos positivos.

Amplos classificadores de reputação, combinados com a inteligência de nosso Nexus Threat Graph, frequentemente impedem que mais de 80% de todas as mensagens maliciosas e de spam cheguem aos usuários finais. Para alguns clientes, isso pode significar dezenas de milhões de mensagens.

Nós criamos nossa análise em área restrita (sandbox) de anexos e URLs e utilizamos modelos de ML para determinar URLs maliciosos, HTML, arquivos e memória remanescentes de possíveis adulterações ou malware.

Os canais do Proofpoint Emerging Threat (ET) Intelligence podem identificar rapidamente endereços IP de alto risco, mesmo que só tenham se tornado maliciosos recentemente. Nossos dados de ameaças de nuvem podem identificar aplicativos de terceiros maliciosos ou contas comprometidas e evitar que essas ameaças sejam ativadas. Nossa equipe de inteligência sobre ameaças junta tudo isso, extraindo daí mais de 7.000 campanhas anualmente, viabilizando uma análise detalhada de ameaças avançadas e emergentes para determinar as últimas tendências.

Coloque a tecnologia à prova com nossa avaliação rápida de risco de e-mail

Em ultima instância, o que mais importa é como essas tecnologias se traduzem em redução do risco da sua organização. Se você deseja compreender rapidamente a atual postura de risco da sua organização, a avaliação rápida de risco de e-mail da Proofpoint permite:

  • Compreender a sua postura de risco e revelar ameaças que a sua solução de segurança de e-mail está deixando passar
  • Obter visibilidade sobre quem na sua organização está sendo visado pelas ameaças
  • Descobrir como a Proofpoint pode oferecer a melhor proteção integrada contra ameaças em evolução

Para saber mais sobre essa avaliação de risco gratuita e agendar uma para a sua organização, veja esta página.