Sophos ha annunciato quattro nuovi sviluppi di Intelligenza Artificiale (AI) per contribuire ad ampliare e affinare le difese contro i cyberattacchi, tra cui dataset, strumenti e metodologie progettati per migliorare la collaborazione del settore e l’innovazione.

Quanto appurato da Sophos dimostra che i responsabili della sicurezza si trovano sempre più spesso ad affrontare avversari che alzano costantemente il tiro, lanciando campagne di falsificazione di Business Email Compromise (BEC) altamente efficaci o sviluppando incessantemente nuove tipologie di attacchi ransomware.

Difese scalabili ed efficaci contro questi e la maggior parte degli altri tipi di cyberattacchi richiedono il supporto dell’IA. L’apertura e la valutazione paritaria tra coloro che utilizzano l’IA per affrontare queste minacce rappresentano uno stimolo all’innovazione e alla ricerca, consentendo all’intero settore di progredire.

Di seguito le quattro aree principali di cui Sophos fornisce dataset, strumenti e metodologie:

Dataset SOREL-20M

SOREL-20M, un progetto congiunto tra SophosAI e ReversingLabs, è un dataset production-scale contenente metadati, etichette e caratteristiche per 20 milioni di file Windows Portable Executable (PE). Ciò comprende 10 milioni di campioni di malware, precedentemente resi innocui, disponibili per il download al fine di supportare l’analisi delle funzionalità e migliorare così la sicurezza in tutto il settore. Questo è il primo dataset su scala di produzione sulla ricerca di un malware disponibile al pubblico, che include un set di campioni organizzati ed etichettati e metadati importanti per la sicurezza.

Metodo di Impersonation Protection per mezzo dell’AI

L’Impersonation Protection di SophosAI è stato progettato per proteggere dagli attacchi di spear phishing via e-mail. Questo metodo vede gli aggressori impersonare persone conosciute per indurre le vittime a compiere azioni dannose a vantaggio dell’aggressore. La nuova protezione confronta il nome visualizzato delle e-mail in entrata con quello del top management aziendale, ovvero quelli che con maggiore probabilità sono stati falsificati in un attacco di spear phishing, come ad esempio un CEO o un CFO.

reti aziendali

I messaggi vengono segnalati se appaiono sospetti. Sophos ha adattato le potenzialità dell’IA grazie all’utilizzo di un ampio campione di milioni di email di attacco conosciute. SophosAI ha reso pubblico questo nuovo metodo innovativo di protezione, di cui ha anche discusso in occasione di Defcon 28 e in un articolo di Arxiv.

Epidemiologia digitale per determinare malware ignoti

SophosAI ha messo a punto anche una serie di modelli statistici ispirati all’epidemiologia per stimare la diffusione totale delle infezioni da malware. Ciò consente a Sophos di stimare e dunque identificare più facilmente gli aghi in un pagliaio di file PE. Il modello è stato progettato per poter essere utilizzato anche per altre classi di file e artefatti del sistema informativo.

Strumenti per la Signature Generation YaraML

La Signature Generation per il rilevamento di famiglie di malware è un processo manuale complesso. Nel corso degli anni, i ricercatori hanno proposto una varietà di metodi per la generazione automatica delle firme, la maggior parte delle quali non ha trovato riscontro positivo in quanto sottoperformano con i metodi manuali. SophosAI ha sviluppato un nuovo metodo per la generazione automatica delle firme chiamato YaraML, che si differenzia notevolmente dalle opzioni precedenti in quanto adotta un approccio al problema basato sull’IA.

SophosAI “compila” direttamente dei veri e propri modelli di machine learning ad uso industriale come quelli utilizzati nelle soluzioni di sicurezza a scopo commerciale permettendo essenzialmente all’IA di “scrivere” le firme. Questo si dimostra molto più efficace degli approcci precedenti e rappresenta una vera svolta per la comunità della sicurezza. SophosAI ha reso YaraML open-source.