Video: MODELO ENTIDAD - RELACIÓN (CONCEPTOS BÁSICOS) (Noviembre 2024)
El primer trimestre de este año estuvo lleno de noticias sobre violaciones de datos. Los números fueron alarmantes: 40 millones o más de clientes Target afectados, por ejemplo. Pero la duración de algunas infracciones también fue una sorpresa. Los sistemas de Neiman Marcus estuvieron abiertos durante tres meses, y la brecha de Michael, que comenzó en mayo de 2013, no se descubrió hasta este enero. Entonces, ¿son sus muchachos de seguridad lamers totales? Un informe reciente del proveedor de recuperación de incumplimientos Damballa sugiere que eso no es necesariamente cierto.
El informe señala que el volumen de alertas es enorme, y generalmente se necesita un analista humano para determinar si la alerta realmente significa o no un dispositivo infectado. Tratar cada alerta como una infección sería ridículo, pero tomarse un tiempo para el análisis les da tiempo a los malos para actuar. Peor aún, para cuando se completa el análisis, la infección puede haber avanzado. En particular, puede estar usando una URL completamente diferente para obtener instrucciones y filtrar datos.
Flujo de dominio
Según el informe, Damballa ve casi la mitad de todo el tráfico de Internet en América del Norte y un tercio del tráfico móvil. Eso les da algunos datos realmente grandes para jugar. En el primer trimestre, registraron el tráfico a más de 146 millones de dominios distintos. Aproximadamente 700, 000 de ellos nunca se habían visto antes, y más de la mitad de los dominios en ese grupo nunca se volvieron a ver después del primer día. ¿Sospechoso mucho?
El informe señala que un canal de comunicación simple entre un dispositivo infectado y un dominio específico de Comando y Control sería rápidamente detectado y bloqueado. Para ayudar a permanecer bajo el radar, los atacantes usan lo que se llama un algoritmo de generación de dominio. El dispositivo comprometido y el atacante utilizan una "semilla" acordada para aleatorizar el algoritmo, por ejemplo, la historia principal en un determinado sitio de noticias en un momento específico. Dada la misma semilla, el algoritmo producirá los mismos resultados pseudoaleatorios.
Los resultados, en este caso, son una colección de nombres de dominio aleatorios, quizás 1, 000 de ellos. El atacante registra solo uno de estos, mientras que el dispositivo comprometido los prueba a todos. Cuando llega al correcto, puede obtener nuevas instrucciones, actualizar el malware, enviar secretos comerciales o incluso obtener nuevas instrucciones sobre qué semilla usar la próxima vez.
Sobrecarga de información
El informe señala que "las alertas solo indican un comportamiento anómalo, no evidencia de infección". Algunos de los propios clientes de Damballa reciben hasta 150, 000 eventos de alerta todos los días. En una organización donde se requiere un análisis humano para distinguir el trigo de la paja, eso es demasiada información.
Se pone peor. Al extraer datos de su propia base de clientes, los investigadores de Damballa descubrieron que las "grandes empresas dispersas a nivel mundial" sufrían en promedio 97 dispositivos por día con infecciones activas de malware. Esos dispositivos infectados, tomados en conjunto, cargan un promedio de 10 GB todos los días. ¿Qué estaban enviando? Listas de clientes, secretos comerciales, planes de negocios: podría ser cualquier cosa.
Damballa afirma que la única solución es eliminar el cuello de botella humano e ir a un análisis totalmente automatizado. Dado que la compañía proporciona precisamente ese servicio, la conclusión no es sorprendente, pero eso no significa que esté mal. El informe cita una encuesta que dice que el 100 por ciento de los clientes de Damballa están de acuerdo en que "automatizar los procesos manuales es la clave para enfrentar los desafíos de seguridad futuros".
Si está a cargo de la seguridad de la red de su empresa, o si está en la cadena de administración de quienes están a cargo, definitivamente querrá leer el informe completo. Es un documento accesible, no pesado de jerga. Si solo es un consumidor promedio, la próxima vez que escuche un informe de noticias sobre una violación de datos que ocurrió a pesar de 60, 000 eventos de alerta, recuerde que las alertas no son infecciones, y cada una requiere análisis. Los analistas de seguridad simplemente no pueden mantenerse al día.
