Brian Caswell, ingeniero jefe de seguridad; Dustin Fraze, investigador científico jefe; Sarah Smith, directora sénior de programas; Rodrigo Racanicci, ingeniero jefe de software; Tim Middleton-Sally, investigador sénior de seguridad; Shelby Hayes, directora técnica sénior de programas; Stanley He, investigador sénior de seguridad; Katy Smith, científica de datos; Bhakta Pradhan, investigador sénior de seguridad y Mike Walker, director de investigación.
Un nuevo avance en el ámbito de la ciberseguridad ha sido presentado con el desarrollo del Project Ire, un agente de inteligencia artificial (IA) autónomo que tiene la capacidad de analizar y clasificar software sin intervención humana. Este innovador prototipo se basa en realizar una ingeniería inversa completa de archivos sin necesidad de conocer su origen o propósito. Utiliza descompiladores y diversas herramientas para examinar los resultados y determinar si el software es malicioso.
El Project Ire es fruto de una colaboración entre Microsoft Research, Microsoft Defender Research y Microsoft Discovery & Quantum. Esta alianza combina experiencia en seguridad, conocimientos operativos, datos sobre telemetría global de malware e investigación en IA. Se fundamenta en la misma base colaborativa que otros proyectos como GraphRAG y Microsoft Discovery. Este sistema utiliza modelos avanzados de lenguaje y herramientas especializadas para impulsar la investigación y clasificación.
Eficiencia en la Detección del Malware
Hasta el momento, el Project Ire ha logrado una precisión del 0.98 y una tasa de recuperación del 0.83 utilizando conjuntos de datos públicos relacionados con controladores de Windows. Este sistema fue el primero en Microsoft en generar un caso suficientemente sólido para justificar el bloqueo automático de muestras específicas asociadas a amenazas persistentes avanzadas (APT), las cuales ya han sido identificadas por Microsoft Defender.
A través del análisis realizado por la plataforma Defender, que monitorea más de mil millones de dispositivos activos mensualmente, se enfrenta a retos significativos. Los analistas deben lidiar con errores y fatiga debido a alertas constantes. Además, no existe un método estandarizado para comparar cómo diferentes expertos revisan y clasifican las amenazas a lo largo del tiempo. Esto contribuye al agotamiento profesional entre los analistas.
A diferencia de otras aplicaciones de IA en el campo de la seguridad cibernética, la clasificación del malware carece de validación computable definitiva. La IA debe tomar decisiones basándose únicamente en revisiones humanas previas. Muchos comportamientos presentes en el software complican la determinación clara sobre si una muestra es maliciosa o benigna.
Tecnología Avanzada Detrás del Project Ire
Project Ire aborda estos desafíos actuando como un sistema autónomo que emplea herramientas especializadas para llevar a cabo ingeniería inversa sobre software. Su arquitectura permite un razonamiento a múltiples niveles que abarca desde análisis binario hasta interpretaciones más complejas del comportamiento del código.
El sistema cuenta con una API que le permite actualizar su entendimiento sobre archivos mediante diversas herramientas, incluyendo entornos analíticos basados en Project Freta, así como herramientas personalizadas y open source.
Análisis y Evaluación Efectiva
El proceso evaluativo inicia con una clasificación donde herramientas automatizadas identifican el tipo y estructura del archivo junto con áreas relevantes. Posteriormente, reconstruyen el gráfico del flujo de control utilizando marcos como angr y Ghidra, creando un modelo que guía todo el análisis posterior.
A través del análisis iterativo, el modelo llama a herramientas especializadas mediante su API para identificar funciones clave. Cada resultado se integra en una "cadena de pruebas", proporcionando un registro detallado que permite auditorías posteriores por parte del equipo de seguridad.
A fin de validar sus conclusiones, Project Ire puede activar una herramienta que contrasta las afirmaciones realizadas con la cadena recopilada durante el análisis. Esta herramienta se apoya en declaraciones formuladas por expertos en ingeniería inversa dentro del equipo.
Resultados Prometedores en Pruebas Iniciales
Diversas evaluaciones iniciales han puesto a prueba la eficacia del Project Ire. En uno de los ensayos se utilizó un conjunto público relacionado con controladores maliciosos y benignos. El sistema logró identificar correctamente el 90 % de los archivos analizados mientras solo marcó erróneamente al 2 % como amenazas falsamente positivas.
A pesar del éxito generalizado durante estas pruebas preliminares, algunos casos han mostrado limitaciones. Por ejemplo, uno de los archivos diseñado para desactivar antivirus fue correctamente identificado como malicioso; sin embargo, se detectó un error en la interpretación que fue corregido posteriormente mediante ajustes al descompilador utilizado.
Perspectivas Futuras para Project Ire
A medida que avanza esta tecnología prometedora, está previsto que el prototipo sea integrado dentro del ecosistema Defender para mejorar aún más la detección y clasificación automática de amenazas cibernéticas.
Nuestra meta es aumentar tanto la velocidad como la precisión del sistema para clasificar eficazmente archivos desde cualquier fuente desde su primer encuentro.
Agradecimientos especiales son dirigidos a los desarrolladores adicionales involucrados: Dayenne de Souza, Raghav Pande, Ryan Terry, Shauharda Khadka y Bob Fleck por su contribución al desarrollo exitoso presentado aquí.
Si (
No(
