Infoblox presenta la puntuación en términos de reputación para clasificar el riesgo que existe en la infraestructura de Internet

Clasificar y comparar las amenazas cibernéticas puede ser muy complicado, especialmente dado el panorama cambiante de la seguridad cibernética día a día. Por lo tanto, tener un proceso sólido, cuantificable y repetible para calificar grandes cantidades de datos puede ser invaluable, ya que los defensores priorizan sus recursos limitados para proteger los sistemas y analizar su tráfico y alertas.

Si bien ha habido una serie de intentos de crear un algoritmo de este tipo, con el intento notable más reciente de Spamhaus, la mayoría no logra producir puntajes que puedan ser interpretados por una amplia variedad de audiencias y que puedan usarse fácilmente para proporcionar comparaciones significativas. En respuesta a esta necesidad, los investigadores del Threat Intelligence Group de Infoblox desarrollaron un nuevo algoritmo de puntuación genérico que se puede aplicar a datos en los top-level domain y nameservers.

Iván Sánchez, Sales Manager LATAM de Infoblox, comenta: ‘Clasificar la reputación o el riesgo de la infraestructura de Internet es esencial para una defensa eficaz de la red de una organización. Los defensores tienen recursos limitados y deben concentrarse en las amenazas que representan el mayor riesgo para su organización. Aunque ha habido muchos intentos de desarrollar algoritmos que puedan producir puntajes de clasificación, la mayoría produce puntajes que son difíciles de interpretar y usar con fines comparativos’.

El ejecutivo agrega: ‘Los investigadores de Infoblox han desarrollado un nuevo algoritmo de puntuación que aborda ambos desafíos. Infoblox es una gran empresa con una base instalada global muy importante. Siempre y cuando esté permitido, usamos nuestro algoritmo a través del uso de los datos de la nube anonimizados para identificar las tendencias emergentes de amenazas de los atacantes’.

Para presentar el algoritmo y demostrar su utilidad, los investigadores de Infoblox aplicaron en los últimos seis meses datos DNS anónimos de los resolvers de la empresa para determinar la reputación o el riesgo asociado con los  .com, .net y Top-level domains (TLD por sus siglas en inglés) que apareció en el tráfico. Con gran confianza, los investigadores clasificaron diez de alto riesgo, lo que significa que estos TLD tenían más probabilidades de contener dominios maliciosos que otros TLD: bid, cam, cfd, click, icu, ml, quest, rest, top, and ws.

El nuevo algoritmo de puntuación de reputación utiliza solo dos piezas de información: el número total de observaciones y el número de observaciones que cumplen con un criterio específico. Cuando el algoritmo se aplica a los TLD para generar puntajes de riesgo, los valores son la cantidad total de dominios observados en los TLD y la cantidad de dominios maliciosos observados en los TLD. Utilizando estos dos valores, el algoritmo produce una puntuación de cero a diez: es decir, [0:10]. Una puntuación de 5 se interpreta como la puntuación normal esperada y se clasifica como “riesgo moderado”. Las puntuaciones de 4 y 6 son lo suficientemente cercanas como para que también se clasifiquen como «riesgo moderado». Las puntuaciones inferiores a 5 tienen una puntuación inferior a la media (es decir, un porcentaje inferior a la media de dominios maliciosos), mientras que las puntuaciones superiores a 5 tienen una puntuación superior a la media (es decir, un porcentaje superior a la media de dominios maliciosos).

Dado el panorama en constante cambio de la web, los puntajes de los  TLD dependen de las observaciones utilizadas en los cálculos y cambiarán con el tiempo a medida que se realicen nuevas observaciones. Para mejorar la confianza en la puntuación y la clasificación de riesgos, Infoblox evaluó la consistencia de los TLD antes de seleccionarlos para un análisis más detallado. Dada la naturaleza altamente variable de Internet, las capacidades de detección y la infraestructura de los actores de amenazas, no es raro que la puntuación de riesgo de un TLD varíe de un mes a otro.

Como resultado, un TLD que se clasifica constantemente como de alto riesgo indica un riesgo a largo plazo que justifica la acción de los defensores. Si bien no todos los dominios en estos TLD son maliciosos, comprender el riesgo general de los TLD en sí mismo puede ayudar a los defensores a decidir si existe un caso comercial para bloquear el TLD o, al menos, monitorearlo cuidadosamente.

Usar este algoritmo para clasificar el riesgo de los TLD es solo el primer paso. A su debido tiempo, la empresa mostrará cómo se puede utilizar para clasificar elementos de la infraestructura de Internet,  nameservers y domain registrars. En el futuro, Infoblox también explorará cómo los clientes pueden utilizar los resultados de estas investigaciones para evaluar y priorizar las posibles amenazas a sus redes.

El nuevo algoritmo de puntuación de reputación de Infoblox ya ha demostrado su eficacia. Su aplicación para determinar la reputación de los TLD ha arrojado información que Infoblox ha utilizado para fortalecer las defensas de sus clientes a través de Dossier y otros productos.

Salir de la versión móvil