Crearon una herramienta para distinguir cuándo se utiliza un certificado web para fines legítimos o actividades maliciosas
La compañía creó un algoritmo de Deep Learning que logró superar el desempeño de SVM en un 5%, en el caso del malware, y en un 3% en el caso del phishing
Detección de amenazas
Hoy en día, los navegadores de Internet utilizan distintas formas para informar a los internautas si una página web es confiable o no, como el distintivo candado verde o el protocolo https. Sin embargo, los ciberdelincuentes han encontrado nuevas maneras de aprovecharse de la confianza de los usuarios y usar los sitios web para actividades malvadas.
Ante este contexto, Cyxtera Technologies, compañía de infraestructura segura, ha realizado una investigación para determinar cómo las redes neutrales profundas pueden ser usadas para desvelar certificados de sitios web maliciosos en su entorno.
La compañía intentó mejorar la detección de certificados maliciosos usando Deep Learning, y recopiló un millón de certificados de sitios web legítimos, 3.000 certificados de sitios de phishing y 3.000 certificados de sitios web infectados con malware, demostrando que casi todos los sitios web maliciosos utilizan certificados autogenerados que se pueden conseguir gratis, mientras que menos del 10% utiliza certificados comprados que contienen información falsa.
Además, señaló que el 55% de los negocios legítimos también utiliza certificados autogenerados, que contienen información real y verificable.
Por otro lado, la investigación también detectó que muchos sitios web legítimos son marcados por los navegadores como sospechosos por sus certificados web generados de manera incorrecta o porque han dejado que sus certificados expiren.
Es por ello que Cyxtera ha creado una herramienta capaz de distinguir cuándo se está utilizando un certificado web para fines legítimos o para actividades maliciosas, al tiempo que evita la gran cantidad de falsos positivos y negativos generados por los sistemas de detección de los navegadores.
Se trata de un algoritmo llamado memoria a largo y corto plazo (LSTM), el cual permite usar un enfoque de Deep Learning de aprender por sí solo del contenido de texto de los certificados web. “Este algoritmo es capaz de descubrir nuevos patrones por sí solo, sin ayuda de sus programadores, lo que significa que puede investigar más allá de lo que pueden inferir los humanos a partir del contenido de los certificados”, detalló Germán Patiño, director de Ventas para Latinoamérica de Cyxtera.
Para probar el nuevo algoritmo, Cyxtera creó un algoritmo SVM y comparó su desempeño con el del algoritmo LSTM utilizados con el mismo conjunto de datos para detectar certificados de malware y phishing. Así, el algoritmo de Deep Learning logró superar el desempeño de SVM en un 5%, en el caso del malware, y en un 3% en el caso del phishing.“Utilizando un enfoque de Deep Learning para detectar cuándo se está utilizando indebidamente un certificado web, el equipo de investigación de Cyxtera pudo detectar certificados maliciosos con un importante nivel de precisión, evitando la necesidad de depender de los lentos sistemas de detección de los navegadores”, concluye el ejecutivo de Cyxtera.