{"id":10003,"date":"2018-01-16T10:50:19","date_gmt":"2018-01-16T13:50:19","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10003"},"modified":"2020-05-19T18:17:21","modified_gmt":"2020-05-19T21:17:21","slug":"what-humachine-intelligence-is","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/what-humachine-intelligence-is\/10003\/","title":{"rendered":"Aprendizado de M\u00e1quina \u00e9 o suficiente?"},"content":{"rendered":"

Atribu\u00edmos a efetividade de nossos produtos ao conceito de Intelig\u00eancia HuMachine \u2013 base do que chamamos de Ciberseguran\u00e7a de verdade<\/em><\/a>. A ess\u00eancia dessa ideia \u00e9 a fus\u00e3o de tr\u00eas elementos fundamentais: big data, aprendizado de m\u00e1quina e an\u00e1lise de especialistas. O que h\u00e1 por tr\u00e1s dessas palavras? Vamos explicar sem entrar mais do que o necess\u00e1rio nos detalhes t\u00e9cnicos.<\/p>\n

Big data e intelig\u00eancia de amea\u00e7as<\/strong><\/h3>\n

O termo Big Data n\u00e3o deve ser interpretado ao p\u00e9 da letra, ou seja, n\u00e3o se trata de uma quantidade absurda de informa\u00e7\u00f5es armazenadas em algum lugar. Nem \u00e9 uma base de dados, mas uma combina\u00e7\u00e3o de tecnologias que permitem processamento instant\u00e2neo de um grande volume de dados de modo a extrair intelig\u00eancia de amea\u00e7as. Nesse caso, esses dados se relacionam com todos os objetos -verdadeiros, maliciosos ou potencialmente utiliz\u00e1veis para fins danosos.<\/p>\n

Para nosso perfil de atua\u00e7\u00e3o, pode-se entender como uma cole\u00e7\u00e3o vasta de elementos maliciosos. Segundo, inclui a Kaspersky Security Network<\/a>, que entrega constantemente novos objetos suspeitos e dados complexos acerca de v\u00e1rias ciberamea\u00e7as ao redor do mundo. Terceiro, Big Data refere-se a diversidade de ferramentas que processam os dados.<\/p>\n

Cole\u00e7\u00e3o de objetos maliciosos<\/strong><\/h3>\n

N\u00f3s nos dedicamos \u00e0 seguran\u00e7a de computadores h\u00e1 mais de 20 anos<\/a>, e ao longo desse tempo analisamos um grande n\u00famero de objetos. As informa\u00e7\u00f5es processadas s\u00e3o armazenadas em nosso banco de dados. Quando falamos de \u201cobjetos\u201d, nos referimos n\u00e3o apenas a arquivos ou peda\u00e7os de c\u00f3digos, mas tamb\u00e9m a endere\u00e7os web, certificados, e registros de execu\u00e7\u00e3o de arquivos para aplica\u00e7\u00f5es aut\u00eanticas e mal-intencionadas. Todos esses dados s\u00e3o armazenados e categorizados n\u00e3o apenas em \u201cperigosos\u201d ou \u201cseguros\u201d, mas tamb\u00e9m com an\u00e1lise de suas rela\u00e7\u00f5es com outros: de qual site aquele arquivo foi baixado, que outros tamb\u00e9m vieram dessa URL, e por a\u00ed vai.<\/p>\n

Kaspersky<\/b>\u00a0Security Network (KSN)<\/strong><\/p>\n

KSN \u00e9 o nosso servi\u00e7o de seguran\u00e7a em nuvem. Uma de suas fun\u00e7\u00f5es \u00e9 bloquear rapidamente as amea\u00e7as mais recentes, protegendo nosso cliente o mais rapidamente poss\u00edvel. Ao mesmo tempo, permite a cada usu\u00e1rio participar do aumento da seguran\u00e7a global ao enviar metadados livres de identifica\u00e7\u00e3o sobre amea\u00e7as para a nuvem. Estudamos cada informa\u00e7\u00e3o detectada e adicionamos suas caracter\u00edsticas ao nosso banco. Feito isso, nossos sistemas podem detectar precisamente n\u00e3o apenas aquela amea\u00e7a, mas tamb\u00e9m similares. Portanto, nossa coleta \u00e9 atualizada em tempo real.<\/p>\n

Ferramentas de categoriza\u00e7\u00e3o<\/strong><\/h3>\n

Ferramentas de categoriza\u00e7\u00e3o s\u00e3o tecnologias internas que nos permitem processar informa\u00e7\u00f5es coletadas e registrar o relacionamento entre objetos maliciosos supracitado.<\/p>\n

A tecnologia do aprendizado de m\u00e1quina<\/strong><\/h3>\n

Para delinear o que \u00e9 aprendizado de m\u00e1quina e como \u00e9 usado na Kaspersky Lab precisar\u00edamos de mais tempo. Devemos come\u00e7ar explicando que nossa metodologia \u00e9 focada em uma abordagem multicamadas<\/a>. Portanto, os algoritmos de aprendizado de m\u00e1quina s\u00e3o usados em subsistemas diferentes em n\u00edveis distintos.<\/p>\n

Detec\u00e7\u00e3o est\u00e1tica<\/strong><\/h3>\n

Todos os dias nosso sistema recebe centenas de milhares de objetos (entre perigoso ou n\u00e3o) que precisam de an\u00e1lise e categoriza\u00e7\u00e3o imediata. H\u00e1 mais de 10 anos, sabemos que n\u00e3o podemos lidar com esse volume sem automa\u00e7\u00e3o. A primeira tarefa \u00e9 entender se um arquivo suspeito se assemelha com um malicioso que j\u00e1 temos. Essa solu\u00e7\u00e3o com aprendizado de m\u00e1quina fica da seguinte forma: escrevemos um programa que analisa a cole\u00e7\u00e3o por inteiro e, quando um novo arquivo entra em cena, nossos analistas recebem as rela\u00e7\u00f5es que ele pode ter com algum malicioso, por exemplo.<\/p>\n

Logo ficou claro que saber se o objeto era similar a outros maliciosos n\u00e3o era suficiente. Precis\u00e1vamos de tecnologia que permitisse ao sistema dar o veredito automaticamente. Por isso, constru\u00edmos uma baseada em \u00e1rvores de decis\u00e3o<\/a>. Treinada em nossa vasta cole\u00e7\u00e3o de objetos maliciosos, ela detectava, com base em um leque de crit\u00e9rios, combina\u00e7\u00f5es espec\u00edficas das quais poderiam servir\u00a0 de indicadores que definem se um arquivo novo \u00e9 perigoso ou n\u00e3o. Ao analis\u00e1-lo, um modelo matem\u00e1tico \u201cpergunta\u201d ao sistema de antiv\u00edrus informa\u00e7\u00f5es como as abaixo:<\/p>\n

    \n
  1. O arquivo \u00e9 maior que 100 kilobytes?<\/li>\n
  2. Se sim, est\u00e1 comprimido?<\/li>\n
  3. Se n\u00e3o, suas partes t\u00eam um nome que poderia ter sido escolhido por um ser humano ou n\u00e3o fazem sentido<\/a>?<\/li>\n
  4. Se foi o primeiro, ent\u00e3o\u2026<\/li>\n<\/ol>\n

    E a lista continua.<\/p>\n

    Depois de responder todas as perguntas, o antiv\u00edrus recebe o veredito do modelo matem\u00e1tico. A decis\u00e3o pode ser \u201co arquivo est\u00e1 limpo\u201d ou \u201c\u00e9 perigoso\u201d.
    \n<\/p>\n

    Modelos matem\u00e1ticos comportamentais<\/strong><\/h3>\n

    Seguindo o princ\u00edpio da seguran\u00e7a multicamadas, nossos modelos matem\u00e1ticos tamb\u00e9m s\u00e3o usados para detec\u00e7\u00e3o din\u00e2mica. Na verdade, pode-se analisar o comportamento de um arquivo execut\u00e1vel logo que ele \u00e9 colocado em a\u00e7\u00e3o. \u00c9 poss\u00edvel construir e treinar um modelo de acordo com os mesmos princ\u00edpios que os aplicados aos matem\u00e1ticos em detec\u00e7\u00e3o est\u00e1tica, mas utilizar arquivos de registro como \u201cmaterial de treino\u201d.<\/p>\n

    Contudo, h\u00e1 uma grande diferen\u00e7a. Em condi\u00e7\u00f5es reais, n\u00e3o podemos esperar at\u00e9 o c\u00f3digo terminar de executar. A decis\u00e3o deve ser tomada depois de analisar uma quantidade m\u00ednima de a\u00e7\u00f5es. No momento, o piloto dessa tecnologia, baseado em aprendizado profundo, est\u00e1 exibindo resultados excelentes.<\/p>\n

    Especialistas humanos<\/strong><\/h3>\n

    Especialistas em aprendizado de m\u00e1quina concordam que n\u00e3o importa o quanto um modelo matem\u00e1tico \u00e9 eficiente, um ser humano sempre ser\u00e1 capaz de passar por ele, especialmente se a pessoa em quest\u00e3o for criativa ao ponto de entender como a tecnologia funciona, ou ainda se h\u00e1 tempo suficiente para executar testes e experimentos diversos. \u00c9 por isso que antes de mais nada, cada parte deve ser atualiz\u00e1vel. Segundo, a infraestrutura precisa funcionar perfeitamente. Terceiro, um ser humano precisa supervisionar o rob\u00f4. Preenchemos, todos esses requisitos.<\/p>\n

    Pesquisa Anti-Malware <\/strong><\/p>\n

    H\u00e1 uns 20 anos, nossa Time de pesquisa Anti-Malware (AMR na sigla em ingl\u00eas) operava sem assist\u00eancia de sistemas autom\u00e1ticos. Hoje, a maioria das amea\u00e7as s\u00e3o detectadas por sistemas especializados treinados por nossos pesquisadores. Em alguns casos, ele n\u00e3o \u00e9 capaz de emitir um veredito inequ\u00edvoco ou n\u00e3o consegue relacionar o objeto com qualquer fam\u00edlia conhecida. Por isso, envia um aviso ao analista AMR de prontid\u00e3o, fornecendo diversos indicadores que subsidiam a decis\u00e3o final do analista.<\/p>\n

    Grupos de an\u00e1lise de m\u00e9todos de detec\u00e7\u00e3o<\/strong><\/p>\n

    Dentro do nosso AMR h\u00e1 um time de pesquisa espec\u00edfico chamado Grupo de An\u00e1lise de M\u00e9todos de Detetc\u00e7\u00e3o, criado em 2007 especialmente para trabalhar com nossos sistemas de aprendizado de m\u00e1quina. No momento, apenas o diretor do departamento \u00e9 um analista de v\u00edrus experiente. Os outros s\u00e3o cientista de dados.<\/p>\n

    Time de An\u00e1lises e Pesquisas Globais (GReAT). <\/strong><\/p>\n

    Por \u00faltimo, mas n\u00e3o menos importante, vamos falar do nosso time de An\u00e1lise e Pesquisas Globais (GreAT na sigla em ingl\u00eas). Os pesquisadores dessa equipe investigam as amea\u00e7as mais complicadas: APTs, campanhas de ciberespionagem, surtos de malware, ransomware e tend\u00eancias do submundo do cibercrime ao redor do mundo. Sua especialidade e t\u00e9cnicas \u00fanicas, ferramentas e esquemas de ciberataques permitem desenvolver novos m\u00e9todos de prote\u00e7\u00e3o que possam impedir ataques ainda mais complexos.<\/p>\n

    Ainda n\u00e3o discutimos sequer metade das tecnologias e departamentos envolvidos no desenvolvimento de nossas solu\u00e7\u00f5es. Muitos outros especialistas e m\u00e9todos diferentes do aprendizado de m\u00e1quina trabalham juntos para protege-lo da melhor forma poss\u00edvel, quer\u00edamos dar \u00eanfase ao princ\u00edpio de Intelig\u00eancia HuMachine.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    A ess\u00eancia do conceito de HuMachine \u00e9 a fus\u00e3o de big data, aprendizado de m\u00e1quina e a expertise de nossos analistas. Mas o que significam essas palavras?<\/p>\n","protected":false},"author":669,"featured_media":10004,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1656],"tags":[1382,1185,1292,1383,1274,40,77],"class_list":{"0":"post-10003","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-aprendizado-de-maquina","10":"tag-business","11":"tag-ciberameacas","12":"tag-ciberseguranca-de-verdade","13":"tag-humachine","14":"tag-seguranca","15":"tag-tecnologia"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/what-humachine-intelligence-is\/10003\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/what-humachine-intelligence-is\/11088\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/what-humachine-intelligence-is\/9199\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/what-humachine-intelligence-is\/4937\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/what-humachine-intelligence-is\/12430\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/what-humachine-intelligence-is\/11636\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/what-humachine-intelligence-is\/11182\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/what-humachine-intelligence-is\/14113\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/what-humachine-intelligence-is\/14113\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/what-humachine-intelligence-is\/18476\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/what-humachine-intelligence-is\/17995\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/what-humachine-intelligence-is\/7242\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/what-humachine-intelligence-is\/14425\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/what-humachine-intelligence-is\/8288\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/what-humachine-intelligence-is\/17605\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/what-humachine-intelligence-is\/17721\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/what-humachine-intelligence-is\/17687\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/669"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=10003"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10003\/revisions"}],"predecessor-version":[{"id":15243,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10003\/revisions\/15243"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/10004"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=10003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=10003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=10003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}