O VoodooShield usa o ML.NET para detectar softwares mal-intencionados

VoodooShield é um bloqueio de computador tangível na segurança cibernética que oferece uma infinidade de recursos altamente avançados não encontrados nos produtos tradicionais da lista de permissão de aplicativos. Ele foi projetado para complementar o software antivírus tradicional e de última geração, incluindo o Microsoft Defender. Usando uma combinação de posturas de segurança dinâmicas, um mecanismo contextual antimalware, um serviço de reputação de arquivos avançado (WhitelistCloud) e aprendizado de máquina habilitado para análise de recursos estáticos, o VoodooShield bloqueia automaticamente o computador quando ele está em risco.

Problema de negócios

As organizações não podem mais confiar apenas em produtos tradicionais de segurança cibernética permitidos por padrão e precisam avançar para uma postura de segurança de confiança zero. O grau de proteção aplicado a um sistema ou ponto de extremidade é altamente dependente do nível de ameaça. Na maioria dos casos, operar constantemente em um alto nível de ameaça é inconveniente e caro. Embora altos níveis de proteção possam ajudar a minimizar o risco de uma violação, eles adicionam atrito e interrupções aos fluxos de trabalho existentes. Por outro lado, operar em um nível de ameaça baixo aumenta a probabilidade de ocorrer uma violação. Portanto, é importante ter posturas de segurança dinâmicas que atuem com base no contexto do nível de ameaça, não apenas bloqueando ameaças, mas também permitindo automaticamente o que precisa ser permitido. A transição para a confiança zero não é fácil. A VoodooShield simplifica essa transição. Utilizando uma variedade de técnicas, incluindo o aprendizado de máquina, o VoodooShield detecta softwares mal-intencionados em tempo real e fornece insights sobre o arquivo ao usuário final para que ele possa tomar uma decisão informada sobre permitir ou bloquear arquivos.

Por que ML.NET?

A VoodooShield usa soluções de aprendizado de máquina desde 2015. Embora sua solução anterior tenha funcionado extremamente bem para eles ao longo dos anos, eles foram notificados recentemente de que ela seria desativada em breve. Eles pesquisaram várias novas plataformas de aprendizado de máquina e descobriram que o ML.NET era perfeito para o VoodooShield. Como parte de sua pesquisa, eles notaram que os algoritmos de aprendizado de máquina progrediram significativamente nos últimos sete anos. O resultado disso foram níveis sem precedentes de eficácia na detecção de malware, juntamente com uma redução significativa de falsos positivos.

ML.NET integrado em nossa solução perfeitamente e sem problemas."

Impacto do ML.NET

Desde o uso do ML.NET, a detecção de malware do VoodooShield e a taxa de falsos positivos melhoraram drasticamente. Como todas as análises de aprendizado de máquina agora são realizadas no computador local em vez da nuvem, o VoodooShield é capaz de fornecer informações de arquivo muito mais rapidamente do que antes. O uso de ferramentas ML.NET como Model Builder facilitou a validação se o ML.NET poderia resolver o problema. Como resultado, eles passaram da experimentação à produção em questão de semanas.

Arquitetura da solução

Dados

Os dados usados para treinar modelos vêm de várias fontes, como repositórios de softwares mal-intencionados e serviços online. O conjunto de treinamento de cerca de 1,2 GB de dados ou cerca de 500.000 amostras é composto principalmente por arquivos executáveis portáteis (PE). O conjunto de dados tem cerca de 224 recursos contendo metadados e informações descritivas sobre cada uma das amostras. A VoodooShield conta com o Model Builder para ajudá-los a escolher as transformações de dados, como OneHotEncoding e FeaturizeText, para preparar seus dados para o treinamento.

Avaliação e consumo

Quando o treinamento está concluído, vários dos principais modelos escolhidos pelo Model Builder são avaliados em relação a um conjunto de dados de teste para escolher qual deles apresenta o melhor desempenho em relação aos dados"reais". Quando o melhor modelo é identificado, esse modelo é integrado ao seu aplicativo de área de trabalho para fornecer análises de softwares mal-intencionados em tempo real e recomendações aos usuários finais sobre se devem bloquear ou permitir determinados arquivos em seus computadores.