O VoodooShield usa o ML.NET para detectar softwares mal-intencionados

VoodooShield é um bloqueio de computador tangível na segurança cibernética que oferece uma infinidade de recursos altamente avançados não encontrados nos produtos tradicionais da lista de permissão de aplicativos. Ele foi projetado para complementar o software antivírus tradicional e de última geração, incluindo o Microsoft Defender. Usando uma combinação de posturas de segurança dinâmicas, um mecanismo contextual antimalware, um serviço de reputação de arquivos avançado (WhitelistCloud) e aprendizado de máquina habilitado para análise de recursos estáticos, o VoodooShield bloqueia automaticamente o computador quando ele está em risco.

Problema de negócios

As organizações não podem mais confiar apenas em produtos tradicionais de segurança cibernética permitidos por padrão e precisam avançar para uma postura de segurança de confiança zero. O grau de proteção aplicado a um sistema ou ponto de extremidade é altamente dependente do nível de ameaça. Na maioria dos casos, operar constantemente em um alto nível de ameaça é inconveniente e caro. Embora altos níveis de proteção possam ajudar a minimizar o risco de uma violação, eles adicionam atrito e interrupções aos fluxos de trabalho existentes. Por outro lado, operar em um nível de ameaça baixo aumenta a probabilidade de ocorrer uma violação. Portanto, é importante ter posturas de segurança dinâmicas que atuem com base no contexto do nível de ameaça, não apenas bloqueando ameaças, mas também permitindo automaticamente o que precisa ser permitido. A transição para a confiança zero não é fácil. A VoodooShield simplifica essa transição. Utilizando uma variedade de técnicas, incluindo o aprendizado de máquina, o VoodooShield detecta softwares mal-intencionados em tempo real e fornece insights sobre o arquivo ao usuário final para que ele possa tomar uma decisão informada sobre permitir ou bloquear arquivos.

Por que ML.NET?

A VoodooShield usa soluções de machine learning desde 2015. Embora a solução anterior tenha funcionado muito bem para eles ao longo dos anos, eles foram recentemente notificados de que ela seria desativada em breve. Eles pesquisaram várias novas plataformas de aprendizado de máquina e descobriram que o ML.NET era a melhor opção para a VoodooShield. Como parte dessa investigação, eles notaram que os algoritmos de aprendizado de máquina avançaram significativamente nos últimos sete anos. O resultado disso tem sido níveis sem precedentes de detecção de malware, juntamente com uma redução significativa de falsos positivos.

ML.NET integrado em nossa solução perfeitamente e sem problemas."

Impacto do ML.NET

Desde o ML.NET, a detecção de malware e a taxa de falsos positivos da VoodooShield melhoraram drasticamente. Como todas as análises de aprendizado de máquina agora são executadas no computador local em vez da nuvem, a VoodooShield é capaz de fornecer insights de arquivo muito mais rápido do que antes. Usar ferramentas do ML.NET como o Model Builder tornou fácil validar se o ML.NET poderia resolver o problema. Como resultado, eles foram capazes de passar da experimentação para a produção em questão de semanas.

Arquitetura da solução

Dados

Os dados usados para treinar modelos vêm de várias fontes, como repositórios de softwares mal-intencionados e serviços online. O conjunto de treinamento de cerca de 1,2 GB de dados ou cerca de 500.000 amostras é composto principalmente por arquivos executáveis portáteis (PE). O conjunto de dados tem cerca de 224 recursos contendo metadados e informações descritivas sobre cada uma das amostras. A VoodooShield conta com o Model Builder para ajudá-los a escolher as transformações de dados, como OneHotEncoding e FeaturizeText, para preparar seus dados para o treinamento.

Avaliação e consumo

Quando o treinamento está concluído, vários dos principais modelos escolhidos pelo Model Builder são avaliados em relação a um conjunto de dados de teste para escolher qual deles apresenta o melhor desempenho em relação aos dados"reais". Quando o melhor modelo é identificado, esse modelo é integrado ao seu aplicativo de área de trabalho para fornecer análises de softwares mal-intencionados em tempo real e recomendações aos usuários finais sobre se devem bloquear ou permitir determinados arquivos em seus computadores.