El Enterprise Immune System

Detecta y combate las ciberamenazas en tiempo real
Sin reglas ni firmas
IA y aprendizaje de máquina
Detección de amenazas en tiempo real y respuesta autónoma

El Enterprise Immune System es la tecnología de aprendizaje de máquina para la ciberdefensa más avanzada del mundo. Inspirada en la inteligencia de autoaprendizaje del sistema inmune humano, esta tecnología de primer nivel ha permitido un cambio fundamental en la forma en que las organizaciones se defienden, en medio de una nueva era de amenazas cibernéticas sofisticadas y generalizadas.

El sistema inmune humano es increíblemente complejo y se adapta continuamente a nuevas formas de amenazas, como el ADN viral que muta constantemente. Funciona aprendiendo lo que es normal para el cuerpo, identificando y neutralizando los valores atípicos que no se ajustan a ese patrón evolutivo de normalidad.

Darktrace aplica la misma lógica a los ambientes empresariales e industriales. Con tecnología de aprendizaje de máquina y algoritmos de inteligencia artificial, la tecnología del Enterprise Immune System aprende iterativamente un "patrón de vida" único (el “yo”) para cada dispositivo y usuario en una red, y correlaciona estas ideas para detectar amenazas emergentes que de otra manera pasarían inadvertidas.

Al igual que el sistema inmune humano, el Enterprise Immune System no requiere experiencia previa de una amenaza o patrón de actividad para comprender que es potencialmente amenazante. Funciona de forma automática, sin conocimiento previo o firmas, detectando y luchando contra ataques sutiles y sigilosos dentro de la red, en tiempo real.

“El Enterprise Immune System de Darktrace nos aporta la tranquilidad de saber que estamos bien preparados para defendernos contra los sofisticados ataques de hoy”.
Dane Sanderson, Global Security Director, Trek
Descubrimientos de Darktrace en 2018

El Threat Visualizer de Darktrace

Arroje luz sobre su red

El Threat Visualizer es la interfaz de notificación de amenazas 3D y en tiempo real de Darktrace. Además de mostrar alertas de amenazas, el Threat Visualizer proporciona una visión general gráfica de la actividad diaria de su (s) red (es), además es fácil de usar y accesible tanto para especialistas en seguridad como para ejecutivos de negocios.

Utilizando técnicas de visualización de vanguardia, la interfaz del Threat Visualizer alerta automáticamente a los analistas de incidentes y amenazas importantes dentro de su ambiente, lo que permite a los analistas investigar de forma proactiva áreas específicas de la infraestructura.

Ventajas
  • Visualización 3D de toda la topología de la red
  • Resumen global en tiempo real del nivel de amenaza de la empresa
  • Agrupamiento inteligente de las anomalías
  • Vista de todo el espectro: topología de red de orden superior, clústeres específicos, subredes y eventos del host
  • Registros y eventos utilizables en búsquedas
  • Reproducción de datos históricos
  • Breve resumen del comportamiento global del dispositivo e IP externas
  • Diseñado para ejecutivos empresariales y analistas de seguridad

100% de visibilidad

Es posible utilizar técnicas de visualización para ofrecer a ejecutivos empresariales una visión general de alto nivel de la red de la empresa, contribuyendo así a cerrar la brecha existente entre especialistas técnicos y directivos. De este modo, los ejecutivos disponen de una sencilla herramienta que les permite controlar los problemas de seguridad, mejorando su conocimiento y comprensión del entorno de red y, con ello, su capacidad para tomar decisiones de gestión.

“Darktrace arroja luz sobre nuestros sistemas, ofreciéndonos un resumen visual de lo que realmente sucede y que normalmente no podemos ver’.”
Conor Claxton, COO, Macrosynergy

IA y aprendizaje de máquina

Aprende la ‘forma de ser’ de su organización, automáticamente

La inteligencia artificial y el aprendizaje de máquina brindan una oportunidad significativa a la industria de la seguridad cibernética. En la actualidad, los nuevos métodos de aprendizaje de máquina pueden mejorar significativamente la precisión para detectar amenazas y mejorar la visibilidad de la red gracias a que pueden gestionar un mayor número de análisis computacionales. También anuncian una nueva era de respuesta autónoma, en la que un sistema de máquina es lo suficientemente inteligente como para comprender cómo y cuándo combatir las amenazas en curso.

Desde el principio, Darktrace rechazó la hipótesis de que los datos relativos a ataques históricos permitirían predecir los futuros. En su lugar, la plataforma de ciber-inteligencia artificial emplea el aprendizaje de máquina sin supervisión para analizar datos de la red a escala y ejecuta miles de millones de cálculos basados en probabilidades en función de evidencias tangibles. En lugar de basarse en los conocimientos adquiridos de amenazas anteriores, clasifica de forma independiente los datos y detecta patrones convincentes.

La ciber-inteligencia artificial líder mundial de Darktrace permite a miles de organizaciones de todo el mundo a identificar y dar respuesta a todo tipo de amenazas, además de señalar cualquier desviación del comportamiento ‘normal’ que requiera atención. Es la mejor plataforma de inteligencia artificial, la más escalable y precisa que se utiliza en la actualidad en la empresa.

“La IA de Darktrace detecta las amenazas que otras no lo hacen”.
William Reid, Director of IT, Wyndham New Yorker
La IA de Darktrace detecta amenazas que otras no detectan y las combate

La IA de Darktrace para ciberdefensa se basa en un aprendizaje de máquina único desarrollado por matemáticos de Cambridge, Reino Unido, y miles de organizaciones de todo el mundo confían en ella.

Nuestro Enterprise Immune System puede detectar enemigos en tiempo real, identificando amenazas cibernéticas antes de que se propaguen. No solo eso, nuestra tecnología de autoaprendizaje también puede luchar contra las amenazas a medida que se desarrollan a la velocidad de una computadora.

Independientemente de que se enfrente a una amenaza interna o un compromiso a largo plazo, que sea atacado con un ransomware o un objeto conectado es hackeado, Darktrace ve los indicadores sutiles de actividad anormal y defiende sus sistemas más críticos.

Expertos de primer nivel

Nuestros especialistas en aprendizaje de máquina de Cambridge, Reino Unido

Nuestros expertos ingenieros de software son especialistas en aprendizaje de máquina y matemáticas. Al ser pioneros en un nuevo uso de las matemáticas bayesianas, llamada Recursive Bayesian Estimation (RBE), sentaron las bases de la galardonada tecnología Enterprise Immune System y su enfoque probabilístico para la identificación de amenazas cibernéticas.

Las matemáticas bayesianas permiten extraer el significado de conjuntos de datos grandes y profusos, y actualizar las probabilidades estimadas de un evento dado a medida que se observa más información. La estimación bayesiana recursiva permite que este enfoque se aplique sin la necesidad de una supercomputadora.

Nuestro equipo de Investigación y Desarrollo en Cambridge, Reino Unido, continúa creando nuevas innovaciones que amplían los límites de lo que es posible en ingeniería de software de seguridad cibernética e inteligencia artificial.

Expertos en inteligencia

Aplicación de técnicas de inteligencia líderes para la empresa

Entre los fundadores de Darktrace se incluyen altos funcionarios de las comunidades cibernéticas de los gobiernos de Estados Unidos y el Reino Unidos (CIA y Agencia de Seguridad Nacional del Gobierno de Estados Unidos y los servicios de inteligencia británicos MI5 y GCHQ).

Nuestro equipo de expertos han adquirido experiencia trabajando en primera línea de defensa cibernética y han sido responsables de la protección de activos nacionales esenciales –personas, servicios públicos y propiedad intelectual base– frente a algunas de las más insidiosas amenazas activas, incluidos sofisticados ataques internos y a gran escala patrocinados por grupos de espionaje paraestatales.

Casos de uso de amenazas

Amenazas en curso detectadas por Darktrace

Darktrace es capaz de detectar una amplia gama de amenazas en curso, infracciones de seguridad y vulnerabilidades provocadas por campañas criminales y ataques de IoT a través de amenazas internas o vulnerabilidades latentes. Los casos de uso seleccionados demuestran diversos escenarios de amenazas que Darktrace identificó en tiempo real antes de que se infligieran daños de gravedad.

Ataque de ransomware avanzado

Darktrace encontró una nueva y avanzada variedad de ransomware en la red de una empresa de telecomunicaciones. El ataque fue automatizado y se extendió más rápido que el ransomware ordinario. Comenzó cuando un empleado eludió los protocolos de seguridad corporativa al acceder a su correo electrónico personal, donde probablemente fue engañado(a) para descargar un archivo malicioso. Segundos después, el dispositivo comenzó a conectarse a un servidor externo en la red Tor.

Nueve segundos después del inicio de las actividades de cifrado SMB, Darktrace emitió una alerta que indicaba que la anomalía requería investigación. A medida que el comportamiento persistió durante los siguientes 24 segundos, Darktrace revisó continuamente su comprensión de la desviación a medida que avanzaba en una seria amenaza. El equipo de seguridad se había ido a casa durante el fin de semana, por lo que Darktrace Antigena intervino e interrumpió automáticamente todos los intentos de escribir archivos cifrados en archivos compartidos de la red.

Lo que encontró Darktrace:
  • El dispositivo del empleado envió una serie de peticiones HTTP anómalas a dominios externos ajenos.
  • El dispositivo descargó un archivo .exe sospechoso.
  • Las acciones de SMB comenzaron a ser exitosamente leídas y encriptadas.
Ataque dirigido a un escáner biométrico

En una empresa manufacturera multinacional, un atacante explotó vulnerabilidades conocidas para comprometer un escáner biométrico, que se usaba para restringir el acceso a maquinaria y plantas industriales. El atacante comenzó a cambiar los de huellas digitales almacenados en el dispositivo.

Si la amenaza hubiera pasado inadvertida, el atacante podría haber agregado sus datos de huellas dactilares a la base de datos para obtener acceso físico a la planta industrial. Las soluciones estándar antimalware y de firmas no detectaron la actividad sutil que llevó al compromiso.

Lo que encontró Darktrace:
  • Después de la instalación, Darktrace detectó conexiones de Telnet sospechosas desde una computadora externa.
  • La computadora externa accedió correctamente a los escáneres utilizando credenciales predeterminadas y privilegios de root para recuperar la información de la CPU.
  • El atacante luego intentó alcanzar otros sistemas internos.
  • La investigación posterior reveló que la disponibilidad del escáner en el puerto 23 de Telnet se había grabado en la base de datos de IP, shodan.io.
Sistema de videoconferencia comprometido

Una empresa deportiva internacional abrió una serie de nuevas oficinas en todo el mundo e invirtió en equipos de videoconferencia para facilitar las comunicaciones diarias entre sus equipos. Al conocer el "patrón de vida" de la organización, Darktrace observó un comportamiento inusual relacionado con un dispositivo en particular en la red: el sistema de videoconferencia en la sala de juntas de la empresa. Un atacante había explotado el acceso remoto no autenticado y comenzó a transmitir datos de audio fuera de la organización.

Al recopilar el flujo de audio de las reuniones confidenciales, el atacante comenzó a acumular información corporativa confidencial. Si no se hubiera controlado, el atacante también podría haberse movido lateralmente para ubicar dispositivos de Punto de Venta e infligido más daño.

Lo que encontró Darktrace:
  • Una de las unidades era el único dispositivo interno que se conectaba externamente a través de Telnet.
  • Se cargaron cantidades de datos anormalmente grandes a seis computadoras externas ajenas.
  • Se había cargado un troyano de puerta trasera antes de la instalación de Darktrace.
  • El dispositivo se conectaba a servidores externos sospechosos a través de FTP, Telnet y HTTP.
Transferencia de datos anómalos a una nube privada

Un empleado descontento decidió pasar su último día con la empresa intentando robar un gran volumen de datos de clientes y subirlos a Dropbox.

Dropbox fue ampliamente utilizado en esta empresa, por lo que el empleado probablemente creía que su actividad pasaría desapercibida. Las herramientas tradicionales no reconocieron el comportamiento como inusual, pero el enfoque de autoaprendizaje de Darktrace puede detectar con precisión incluso las más mínimas desviaciones de lo normal. Como resultado, las transferencias ilegítimas se identificaron antes de que el empleado pudiera robar la información con éxito.

Lo que encontró Darktrace:
  • Un servidor de la empresa cargó 17 GB de datos en Dropbox, una cantidad inusualmente grande para este servidor.
  • Las conexiones a Dropbox eran algo habitual en la empresa, pero raramente se hacían desde el servidor en cuestión.
  • Los datos contenían información sobre la geo-localización de clientes de la empresa.
Robo de credenciales automatizado

La red de un proveedor de atención médica se infectó con una variedad de malware diseñado para robar las credenciales de los usuarios. Una vez en la red, el malware se propaga al copiar programas en carpetas confidenciales en otros dispositivos y para adivinar los detalles de inicio de sesión.

El atacante intentaba extraer las credenciales de usuario de la red. El tipo de malware utilizado no se parecía a nada en las bases de datos de amenazas existentes, y estaba automatizado. Esto significa que el equipo de seguridad no pudo responder lo suficientemente rápido y que las defensas tradicionales no pudieron identificarlo. El enfoque de IA de Darktrace reconoció que los programas copiados y el acceso forzado de los administradores de contraseñas eran anormales, dada su comprensión de la actividad normal de los usuarios y las organizaciones.

Lo que encontró Darktrace:
  • Los dispositivos infectados estaban enviando programas a archivos confidenciales.
  • Las transferencias de archivos se producían a velocidades superiores a las que los usuarios podrían haber actuado.
  • Los dispositivos también intentaban comunicarse con una infraestructura de terceros sospechosa.
Registrador de pulsaciones de teclas que se modifica a sí mismo

Algunos de los ataques más sofisticados que detecta Darktrace contienen ‘mecanismos activos de defensa’ que les permiten evitar ser detectados por los sistemas de seguridad tradicionales. Uno de estos ataques empleaba un malware que se modificaba a sí mismo para infiltrarse de manera inadvertida en la red de una importante universidad. El atacante usó la herramienta ‘Smoke Loader’ para extraer de forma autónoma las contraseñas de usuarios. El malware intentaba ocultar su presencia en la red cambiando dinámicamente su firma de amenaza y generando mensajes de error falsos como cortina de humo.

El malware era engañoso, ya que se percibía más como un ataque dirigido que como una campaña indiscriminada convencional. Darktrace estudió con detalle esta operación tan evolucionada para comprenderla, mediante la combinación de una serie de comportamientos anómalos, con el fin de determinar si existía una anomalía grave que requería una acción inmediata.

Lo que encontró Darktrace:
  • La descarga del archivo inicial se originó en una fuente externa ajena.
  • Se realizaron transferencias correctamente (que probablemente contenían contraseñas) a un destino muy inusual.
  • A las transferencias les siguieron un aluvión de mensajes de error indicando conexiones fallidas.
  • La actividad compatible se desviaba de manera importante de actividad habitual de los dispositivos.
Operación interna de minería de Bitcoin

Se detectó que un ingeniero de software de una empresa de servicios financieros, que tenían acceso a las granjas de servidores de la empresa, tenía un dispositivo empresarial que se comunicaba con un punto de conexión externo poco habitual.

Posteriormente se descubrió que el empleado había planificado realizar una rentable operación de minería de Bitcoin. Entre la IP, nombre de host, actividad RDP y consultas SMB poco comunes, Darktrace comprendió que estos indicadores formaban parte de un patrón más grande de amenaza e identificó la actividad en tiempo real.

Lo que encontró Darktrace:
  • Se observaron actividades RDP y consultas SMB anómalas en el dispositivo del empleado.
  • El dispositivo se conectaba a la red doméstica del usuario que utilizaba un servidor FTP.
  • El servidor contenía una carpeta con el nombre de la empresa.
  • Dentro de la carpeta había una serie de troyanos con operaciones de minería Bitcoin maliciosas.
Fuga de datos de una red eléctrica industrial

Mientras trabajaba con una red de energía SCADA en el Medio Oriente, Darktrace identificó un servidor interno que estaba comprometido y filtrando datos a un atacante externo.

La red eléctrica era un objetivo de alto perfil, lo que hacía que la extracción de datos fuera particularmente alarmante. Darktrace fue capaz de señalar este sofisticado ciberataque a través de su enfoque de autoaprendizaje, y el equipo de seguridad pudo tomar medidas rápidas y decisivas antes de que cualquier información crítica saliera de la red.

Lo que encontró Darktrace:
  • Se detecto una conexión SSH anómala al servidor desde un dispositivo externo que jamás se había comunicado con el servidor anteriormente.
  • El servidor estaba enviando grandes volúmenes de información inusualmente grandes fuera de la red a través de conexiones ICMP.
  • Se establecieron conexiones SSH tras una serie de conexiones SSH fallidas empleando códigos de acceso etiquetados como valores predeterminados en línea.
Ataque externo en un servidor en la nube

Darktrace detectó un ataque de fuerza bruta contra un servidor dentro de la infraestructura de la nube, que fue expuesto accidentalmente a Internet.

La conexión entre la nube y los segmentos de la red física significaba que la red en su totalidad se habría visto comprometida si el ataque hubiera tenido éxito. La actividad no solo representaba un riesgo significativo para la seguridad, sino que al recibirse tantos intentos de conexión continuamente, también existía la posibilidad real de que una denegación de servicio afectara al servidor.

Lo que encontró Darktrace:
  • Se detectaron más de 8 mil intentos de accesos en un período de cuatro semanas desde más de 100 direcciones de origen distintas.
  • Las direcciones intentaban accede sistemáticamente a un servidor RDP basado en la nube usando un único nombre de usuario: “hello”.
  • La actividad era responsable de la mayoría del tráfico hacia y desde el servidor.
Robo de datos desde debajo de la tarima

Después de implementarse en una red corporativa, Darktrace detectó un dispositivo "disidente" que actuaba de manera anómala en el centro de datos de la empresa. Mientras tanto, el equipo de seguridad no tenía conocimiento del dispositivo existente en primer lugar. Después de que Darktrace alertara repetidamente sobre la actividad anómala en el transcurso de dos semanas, la compañía decidió investigar. El equipo descubrió una pequeña computadora instalada debajo de las tablas del piso de su centro de datos. Resultó que el dispositivo estaba conectado a la parte posterior del servidor y estaba desviando datos. Se sospechó e investigó un ataque malicioso.

Descubrimientos de Darktrace en 2018

Detección de ransomware

Cómo Darktrace identifica el ransomware antes de que se propague

En 2016, las personas que usan Internet para cometer delitos lanzaron 638 millones de ataques de ransomware. Esto supone un incremento del 167% frente a los más de 4 millones de intentos de ataques de 2015, siendo la mayoría de los ataques campañas de phishing capaces de eludir los mecanismos de defensa existentes. Con el auge del ransomware como servicio (RaaS, por sus siglas en inglés) para reducir las barreras de entrada, ahora es más fácil que nunca para los atacantes acceder e implementar ransomware.

Una vez dentro de la empresa, el malware cifra los datos e intenta propagarse a otros dispositivos o unidades compartidas. La velocidad con la que el ataque se propaga y los efectos devastadores que puede tener, convierten al ransomware una atractiva propuesta para los delincuentes que utilizan Internet para cometer sus delitos.

El Enterprise Immune System de Darktrace ha demostrado ser capaz de detectar y proporcionar defensa contra los cada vez más frecuentes ataques de ransomware en todos los sectores de la industria. Esta tecnología, que utiliza algoritmos de IA y aprendizjae de máquina, es capaz de identificar una amplia gama de anomalías relativas a ransomware, teniendo en cuenta indicadores débiles para formar una imagen convincente del nivel de amenaza general.

Darktrace identifica correctamente, por ejemplo, la actividad del malware WannaCry debido al comportamiento extremadamente anómalo de los dispositivos conforme intentaban acceder y cifrar archivos, y moverse lateralmente hacia otros dispositivos expuestos.

Darktrace responde en tiempo real al detectar el ransomware anulando a la fuerza conexiones sospechosas de la red interna para impedir su propagación. Esta respuesta totalmente autónoma generada por Darktrace Antigena, ofreció a los equipos de seguridad un tiempo esencial para recuperar terreno antes de que los datos ser perdieran o cifraran.

Si le preocupa el ransomware, programe una reunión informativa con un experto de Darktrace por correo electrónico a [email protected] o bien, llamando al número de teléfono:

Latam: +57 322 942 6401
Europa: +34 687 97 27 17
EE. UU.: +1 415 229 9100
Siguiente: Productos